， ~ 
在 线 学 习 资 料 支 持 
您 可 以 在 华为 企业 业务 网 站 获得 ELearning 课 程 、 培 训 教材 、 产 品 资料 、 软 件 工具 、 技 术 案 例 等 : 
1、E-Learning 课 程 : BREAZHF TMi, itr “EARME” 28 
免费 E-Learning 课 : 对 网 站 所 有 用 户 免费 开放 
职业 认证 E-Learning 课 : 通过 任何 一 项 职业 认证 即 可 学 习 所 有 职业 认证 培训 E-Learning 课 程 
渠道 赋 能 E-Learning 课 : 对 华为 企业 业务 合作 伙伴 免费 开放 
2、 培 训 教材 : SREAZAF IT Mi, tr “EHME” , EARN AAA PRAMS 
华为 职业 认证 培训 教材 、 华 为 产品 技术 培训 教材 。 无 需 注册 即 可 下 载 
3、 华 为 在 线 公 开课 (LVC): http://support.huawei.com/ecommunity/bbs/10154479.html 
企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 公开 授课 
4、 产 品 资料 下 载 : El iii 二 
5. RHIAPR: http://support.huawei.com/enterprise/#tabname=softwaredewnload 











更 多 内 容 请 访问 : 
o http://learning.huawei.com/cn 
o http://support.huawei.com/enterprise/ 
o http://support.huawei.com/ecommunity/ 
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华为 认证 体系 介绍 


依托 华为 公司 雄厚 的 技术 实力 和 专业 的 培训 体系 ， 华 为 认证 考虑 到 不 同 客户 
对 ICT 技 术 不 同 层次 的 需求 ， 致 力 于 为 客户 提供 实战 性 、 专 业 化 的 技术 认证 。 


根据 ICT 技 术 的 特点 和 客户 不 同 层次 的 需求 ， 华 为 认证 为 客户 提供 面向 二 三 
个 方向 的 四 级 认证 体系 。 X 


HCNA(HCDA) 认 证 定位 于 中 小 型 网 络 的 基本 配置 和 维护 。HCNA(HCDA) 
认证 包括 但 不 限于 :网 络 基 础 知识 流行 网 络 的 基本 连接 方法 基本 的 网 络 建造 ; 
基本 的 网 络 故 障 排 除 ; 华为 路 由 交换 设备 的 安装 和 调试 。 通 过 CNA(HCDA) 
认证 ,将 证 明 您 对 中 小 型 网 络 有 初步 的 了 解 ， 了 解 面向 中 小 型 企业 的 网 络 通 用 技 
术 ， 并 具备 协助 设计 中 小 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 设计 的 能 力 。 
拥有 通过 HCNA(HCDA) 认 证 的 工程 师 ,意味 着 中 小 企业 有 能 力 完成 基本 网 络 搭 
建 ， 并 将 基本 的 语音 、 无 线 、 云 、 安 全 和 存储 集成 到 网 络 之 中 ， 满 足 各 种 应 用 对 
网 络 的 使 用 需求 。 


HCNP-Enterprise (HCDP-Enterprise) 认 证 定位 于 中 小 型 网 络 的 构建 和 管 

#2, HCNP-Enterprise (HCDP-Enterprise) 认 证 包括 但 不 限于 :网 络 基础 知识 ; 
交换 机 和 路 由 器 原理 ; TCP/IP 协议 艇 ;路 由 棒 议 SS 访问 控制 ;网 络 故障 的 排除 ; 
华为 路 由 交换 设备 的 安装 和 调试 。 通 过 HCNP-Enterprise (HCDP-Enterprise) 
认证 ,将 证 明 您 对 中 小 型 网 络 有 全 面 深入 的 子 解 ,掌握 面向 中 小 型 企业 的 网 络 通 
用 技术 ,并 具备 独立 设计 中 小 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 设计 的 能 
力 。 拥 有 通过 HCNP-Enterprise (HGDP-Enterprise) 认 证 的 工程 师 ， 意味 着 中 
小 企业 有 能 力 完成 完整 网 络 的 搭建 \, 将 企业 中 所 需 的 语音 、 无 线 、 云 、 安 全 和 存 
储 全 面 地 集成 到 网 络 之 中 ， 并 且 能 满足 各 种 应 用 对 网 络 的 使 用 需求 ， 进 而 提供 较 
高 的 安全 性 、 可 用 性 和 可 靠 性 。 


HCIE-Enterprise 认证 定位 于 大 中 型 复杂 网 络 的 构建 、 优 化 和 管理 。 
HCIE-Enterprise 认证 包括 但 不 限于 : 不 同 网 络 和 各 种 路 由 器 交换 机 之 间 的 互联 ; 
复杂 连接 问题 的 解决 si 使 用 技术 解决 方案 提高 带宽 、 缩 短 相应 时 间 、 最 大 限度 地 
提高 性 能 、 加 强 安 全 性 和 支持 全 球 应 用 ; 复杂 网 络 的 故障 排除 。 通 过 
HCIE-Enterprise 认证 ， 将 证 明 您 对 大 型 网 络 有 全 面 深入 的 了 解 ， 掌 握 面向 大 型 
企业 网 络 的 技术 ;着 有 具备 独立 设计 各 种 企业 网 络 以 及 使 用 华为 路 由 交换 设备 实施 
设计 的 能 力 人 拥有 通过 HCIE-Enterprise 认证 的 工程 师 ,意味 着 大 中 企业 有 能 
独立 完成 完整 的 网 络 搭建 ， 将 企业 中 所 需 的 语音 、 无 线 、 云 、 安 全 和 存储 全 面 地 
集成 到 网 络 之 中 , 并且 能 满足 各 种 应 用 对 网 络 的 使 用 需求 ;能 够 提供 完整 的 故障 
排除 能 力 ; 能 根据 企业 和 网 络 技术 的 发 展 ,规划 企业 网 络 的 发 展 ， 并 提供 高 安全 
性 、 可 用 性 和 可 靠 性 。 


华为 认证 协助 您 打开 行业 之 窗 ,开启 改变 之 门 ,屹立 在 ICT 世 界 的 潮 头 浪 尖 ! 
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HCDP-IENP 前言 
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HU A 
简介 
本 书 为 HCDP-IENP 认证 培训 教程 ， 适 用 于 准备 参加 HCDP-IENR Fist: 
员 或 者 希望 系统 掌握 华为 安全 产品 与 技术 、 可 靠 性 HA 技术 会 QS 原理 以 及 
在 华为 通用 路 由 平台 VRP 上 的 实现 的 读者 。 
内 容 描述 








本 书 共 包含 三 个 Module， 系 统 地 介绍 了 华为 安全 旋 品 与 技术 、 可 靠 性 HA 技 
术 和 QOS 原理 以 及 在 VRP 上 的 配置 与 实现 。 

Module1 详细 介绍 了 华为 WI 防火 墙 产品 功能 特性 入 
化 为 安全 产品 及 网 络 安 全 有 一 个 较为 深入 的 导 解 ; 
Module 2 详细 介绍 了 可 靠 性 HA 技术 ， 帮 助 读者 深入 了 解 各 种 HA 技术 原理 























p= 


业务 特性 ， 使 读 V 










































































和 运用 。 
Module 3 详细 介绍 了 IP QoS 技术 污 帮 助 读者 深入 了 解 QoS 原理 , 掌握 QoS 
在 华为 VRP 中 的 配置 。 
































本 书 引 导读 者 循序 渐进 地 掌握 华为 安全 产品 与 技术 、 可 靠 性 HA 技术 和 QoS 
技术 原理 以 及 在 华为 诬 品 中 的 实现 ， 读 者 也 可 以 根据 自身 情况 选择 感 兴趣 的 


str 


章节 阅读 。 
读者 必 备 知识 背景 
为 了 更 好 地 掌握 本 书 内 容 ， 阅 读本 书 的 读者 应 首先 具备 以 下 基本 条 件 之 一 : 
(1) ”参加 过 HCDA 培训 
(2) 人 通过 HCDA 考试 


(SAN GAZ TCP/IP Pik, E 定 的 网 络 基础 知识 
(4) 熟悉 多 种 路 由 协议 如 OSPF 和 BGP 
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本 书 常用 图 标 CS 







IPv6 路 由 器 SOHO 路 由 器 语音 模块 的 路 由 器 中 低 端 路 由 器 


























































































































核心 路 由 器 集线器 插座 式 交换 机 核心 交换 机 
边缘 交换 机 堆 秋 交换 机 


(o> AP 大 功率 无 线 网 桥 


无 线 网 卡 接 入 服务 器 NS Bi St 网 络 电话 系统 
®@ 
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Module 1 
华为 安全 产品 与 技术 
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IENP ”第 一 章 华为 安全 产品 与 技术 > 


USG 防 火 墙 产 品 基本 
功能 特性 与 配置 








HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





© Ai 
本 胶片 介绍 了 USG 系 列 产 品 主要 的 安全 技术 和 安全 特性 ， 以 


及 各 安全 特性 在 USG 产 品 上 的 配置 。 包 括 如 : 防火 墙 区 域 ， 
防火 墙 工作 模式 ，ASPF 技 术 ，NAT 技 术 以 及 一 些 扩展 技术 。 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 掌握 USG 产 品 的 主要 安全 技术 和 安全 特性 
。 掌握 各 安全 特性 在 USG 产 品 上 的 配置 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 
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OEE: 


防火 墙 的 基本 概念 
防火 墙 关键 技术 
防火 墙 基本 功能 
防火 墙 扩展 功能 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 
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© F 


1. 防火 墙 的 基本 概念 
1.1 安全 区 域 
1.2 防火 墙 工作 模式 
1.3 会 话 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 
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防火 墙 的 安全 区 域 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 


域 (Zone) 是 防火 墙 上 引入 的 一 个 重要 的 逻辑 概念 ; 因为 防火 墙 通常 是 
放 在 网 络 的 边界 ， 路 由 器 通过 接口 来 连接 不 同 网 段 ， 防 火 墙 通过 域 来 表 
示 不 同 的 网 络 ， 通 过 将 接口 加 入 域 并 在 安全 区 域 之 间 启 动 安全 检查 ( 称 
为 安全 策略 ) ， 从 而 对 流 经 不 同安 全 区 域 的 信息 流 进行 安全 过 滤 。 常 用 
的 安全 检查 主要 包括 基于 ACL 和 六 用 层 状 态 的 检查 。 


ee 使 用 其 它 安全 区 域 前 ， 都 需要 将 安全 区 域 分 别 与 防火 
墙 的 特定 接口 关联 ， 即 将 接口 加 入 安全 区 域 ， 接 口 只 能 加 入 到 一 个 安全 
区 域 。 该 接口 既 可 以 是 物理 接 回 ， 也 可 以 是 逻辑 接口 。 一 个 安全 区 域 能 
够 支持 的 最 大 接口 数量 为 1024。 


备注 : 接口 添加 进 区 域 表 达 的 意思 是 该 接口 所 连接 的 网 络 属于 该 区 域 ， 
但 接口 本 身 是 属于 Local 区 域 的 。 


USG 火 墙 上 保留 五 外 安全 区 域 : 
虚拟 区 (VZone): 虚拟 防火 墙 所 支持 的 区 域 ， 其 安全 优先 级 为 0。 


非 受信 区 MUntrust) : 低级 的 安全 区 域 ， 其 安全 优先 级 为 5。 非 军事 化 
XADMZ) : 中 度 级 别 的 安全 区 域 ， 其 安全 优先 级 为 50。 


受信 区 (Trust) : 较 高 级 别 的 安全 区 域 ， 其 安全 优先 级 为 85。 
本 地 区 域 (Local) : 最 高 级 别 的 安全 区 域 ， 其 安全 优先 级 为 100。 
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定义 安全 优先 级 的 目的 是 用 来 区 分 安全 区 域 间 数据 流 的 方向 性 ， 是 
inbound 还 是 outbound， 上 有 具体 见 下 一 页 胶片 。 





此 外 ， 如 认为 有 必要 ， 用 户 还 可 以 
优先 级 别 。 系 统 最 多 支持 16 个 安全 





自行 设置 新 的 安全 区 域 并 定义 其 安全 
区 域 ， 包 括 五 个 保留 的 区 域 在 内 。 








安全 区 域 与 各 网 络 的 关联 遵循 下 面 的 原则 : K 


内 部 网 络 应 安排 在 安全 级 别 较 高 的 
外 部 网 络 应 安排 在 安全 级 别 最 低 的 


一 些 可 对 外 部 提供 有 条 件 服 务 的 网 络 应 安排 在 安全 级 别 中 等 的 DMZ 


区 域 ; 





区 域 ; 





区 
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接口 、 网 络 和 安全 区 域 关系 


outbound 


eee -i 
Wa USG P 
2 


ocal 
外 部 网 络 
Untrust 

Eth1/0/0 
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e! f inbound 
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outbound 
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当 数 据 流 在 安全 区 域 之 间 流 动 时 ， 才 会 激发 HSG 防 火 墙 进行 安全 策略 的 
检查 ， 即 USG 防 火 墙 的 安全 策略 实施 都 是 基于 域 间 (例如 Untrust 区 域 
和 Trust 区 域 之 间 ) 的 ， 不 同 的 区 域 之 间 可 以 设置 不 同 的 安全 策略 (例如 
包 过 滤 策 略 、 状 态 过 滤 策 略 等 等 ) 


域 间 的 数据 流 分 两 个 方向 : 























e 入 方向 (inbound) ;数据 由 低级 别 的 安全 区 域 向 高 级 别 的 安全 区 
域 传输 的 方向 ; 

。 出 方向 (outbound): 数据 由 高 级 别 的 安全 区 域 向 低级 别 的 安 
全 区 域 传输 的 郑 阿 。 





。 任何 两 个 安全 区 域 的 优先 级 不 能 相同 ; 
。 本 域内 不 同 接口 间 的 报 文 不 过 滤 直 接 转发 ; 
。 接口 没有 加 入 域 之 前 不 能 转发 报 文 。 


在 支持 虚拟 防火 墙 的 情况 下 ， 有 Vzone 区 域 ，Vzone 区 域 也 不 包含 任何 
接 轧 用 于 实现 VPN 实 例 间 的 报 文 转发 。 


数据 流 在 VPN 实 例 间 的 流动 需要 通过 各 自 的 Vzone 区 域 跳 转 。 
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例如 ， 当 一 个 数据 流 从 VPN1 的 Trust 区 域 流向 VPN2 的 DMZ 

数据 流 需要 首先 从 VPN1 的 Trust 区 域 进 入 VPN1 的 Vzone 区 域 ; 再 从 
VPN2 的 Vzone 区 域 进入 VPN2 的 DMZ 区 域 。 其 中 ， 各 VPN 实 例 的 Vzone 
区 域 是 互相 连通 的 ， 数 据 可 以 不 受 防 火 墙 域 间 过 滤 规 则 的 限制 而 自 xs 





区 域 时 ， 该 
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安全 区 域 配置 一 1 


创建 一 个 安全 区 域 
[USG2100] firewall zone name userzone 
设置 优先 级 
[USG2100-zone-userzone] set priority 60 
给 安全 区 域 添 加 接口 


[USG2100-zone-userzone] add interface GigabitEthernet 0/0/14 
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firewall zone [name] zone-name 


name: 当 创建 一 个 新 的 安全 区 域 或 删除 一 个 安全 区 域 时 ， 使 用 该 关键 
字 。 进 入 保留 的 或 已 建立 的 安全 区 贼 视图 时 则 不 需要 使 用 该 关键 字 。 
zone-name: 安全 区 域名 称 。 可 到 的 字符 集 为 : A~Z、a~z、0~9、“_”, 
必须 以 A~Z 开 头 。 名 称 对 大 小 写 不 敏感 ， 最 大 长 度 为 32 个 字符 。 


用 户 可 以 自 定义 自己 的 安全 区 域 ， 系 统 总 共 支 持 16 个 安全 区 域 ， 包 括 系 
统 默认 的 5 个 区 域 。 自 定 兴安 全 区 域 必 须 指 定 区 域 的 优先 级 ， 通 过 set 
priority 命 令 指 定 区 域 的 优先 级 ， 优 先 级 的 范围 为 1- 100， 任 何 两 个 区 域 
的 优先 级 不 能 相同 AS 并 且 系 统 默认 的 5 个 区 域 的 优先 级 不 能 更 改 。 


把 接口 添加 进 区 域 使 用 的 命令 是 add interface ， 一 个 区 域 下 最 多 支持 的 
接口 数量 为 1024 个 。 
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安全 区 域 配 置 验证 


查看 防火 墙 安 全 区 域 配置 
[USG2100]display zone usemame 
username 

priority is 60 

interface of the zone is (1): 


GigabitEtherneto/0/1 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 


display zone [ zone-name ] [ interface | priority ] 
zone-name: 安全 区 域名 称 。 
interface: 显示 隶属 于 安全 区 域 的 接口 。 
priority: 显示 安全 区 域 的 安全 优先 级 。 





命令 display zone 用 来 显示 安信 区 域 的 配置 信息 ， 包 括 隶 属于 安全 优先 
级 、 隶 属于 安全 区 域 的 接口 等 。 


当 不 指定 安全 区 域 各 称 时 则 显示 所 有 区 域 相关 配置 信息 。 
当 不 指定 interface 和 priority 关 键 字 时 ， 显 示 所 有 配置 信息 。 
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安全 区 域 配置 一 2 


在 域 间 下 发 ACL 
<USG2100>system-view 
[USG2100] policy interzone trust untrust outbound 
[USG2100-policy-interzone-trust-untrust-outbound] policy 1 


[USG2100-policy-interzone-trust-untrust-outbound-1] action permit 
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policy interzone trust untrust outbound EXM trustFJuntrustX IAN 
行 策略 

inbound: 过 滤 从 低 安 全 区 域 到 高 安全 区 域 的 数据 包 

outbound: 过 滤 从 高 安全 区 域 到 低 安 全 区 域 的 数据 包 














policy 1 : 创建 一 个 序号 为 1 的 策略 


action permit: 策略 执行 的 结果 是 允许 
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图 目录 


1. 防火 墙 的 基本 概念 
1.1 安全 区 域 
1.2 防火 墙 工 作 模 式 
1.3 会 话 
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防火 墙 的 三 种 工作 模式 
路 由 模式 
透明 模式 
混合 模式 
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依据 USG 防 火 墙 的 工作 模式 ， 具 体 可 分 为 三 种 : 路 由 模式 ， 透 明 模 式 和 
混合 模式 。 路 由 模式 即 防火 墙 像 一 全 路 由 器 ， 在 防火 墙 接 口上 需要 配置 
相关 的 IP 地 址 ， 需 要 维护 相关 的 路 由 信息 。 透 明 模 式 即 防火 墙 像 交换 机 
等 二 层 设备 一 样 布置 在 网 络 之 电 ， 接口 无 需 配 I|P 地 址 ， 不 改变 网 络 的 罗 
辑 拓扑 。 混 合 模式 即 路 由 模式 和 透明 模式 的 集会 ， ig 火 墙 的 有 些 端口 工 
作 在 三 层 ， 需 要 配置 |P 地 址 二 有 些 端口 工作 在 二 层 ， 像 交换 机 端口 ， 主 
要 用 于 防火 墙 的 双 机 备份 应 用 。 
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路 由 模式 


10.110.1.254 202.10.0.1 PC PC 
Untrust& 








外 部 网 络 
内 部 网 络 202.10.0.0/24 
10.110.1.0/24 
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当 USG 防 火 墙 位 于 内 部 网 络 和 外 部 网 络 之 间 时 ， 需 要 将 防火 墙 与 内 部 网 
络 、 外 部 网 络 以 及 DMZ 三 个 区 域 相连 的 接 回 分 别 配置 成 不 同 网 段 的 IP 地 
址 ， 重 新 规划 原 有 的 网 络 拓 扑 ， 此 时 防火 墙 相 当 于 一 人 台 路 由 器 。 采 用 路 
由 模式 时 ， 可 以 完成 ACL 包 过 滤 、ASPF 动 态 过 滤 、NAT 转 换 等 功能 。 
然而 ， 路 由 模式 需要 对 网 络 拓扑 进行 修改 。 
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透明 模式 


202.10.0.0/24 


Trust 区 PC PC PC 
Untrust 区 
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如 果 USG 防 火 墙 采用 透明 模式 进行 工作 六 内需 在 网 络 中 像 放置 网 桥 一 样 
插入 该 USG 防 火 墙 设备 即 可 ， 最 大 的 优 羡 是 无 需 修改 任何 已 有 的 配置 ; 
此 时 防火 墙 就 象 一 个 交换 机 一 样 工作 SS 该 工作 模式 在 现 网 改造 的 时 候 很 
BABE. 

透明 模式 的 防火 墙 支持 ACL 规 则 检查 、ASPF 状 态 过 滤 、 防 攻击 检查 、 

流量 监控 等 功能 。 报 文 在 防 灾 里 当中 不 仅仅 是 像 交 换 机 的 二 层 处 理 ， 会 
对 报 文 进行 高 层 分 析 处 理 。 





防火 墙 上 的 地 址 表 阴 ,， 防 火 墙 两 端的 接口 处 于 同一 个 网 段 当 中 ， 就 像 交 
换 机 一 样 。 防 淡 墙 接口 不 需要 配置 |P 地 址 。 
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USG (+) 


PC 
Untrust 区 





外 部 网 络 
202.10.0.0/24 服务 器 
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QURUSGH ASE L PER ARE (接口 具有 IP 地 址 ) ， 又 
存在 工作 在 透明 模式 的 接口 〈 接 口 无 PP 地 址 ) ， 则 防火 墙 工作 在 混合 模 
式 下 ， 这 种 工作 模式 基本 上 是 透明 模式 和 路 由 模式 的 混合 ， 目 前 只 用 于 
透明 模式 下 提供 双 机 热 备 的 特殊 应 用 中 ， 别 的 环境 下 不 建议 使 用 。 

此 时 启动 VRRP (Virtual Router Redundancy Protocol) 功能 的 接口 需 

要 配置 IP 地 址 ( 即 防 火 墙 之 间 相 连 的 接口 )， 其 它 接 口 不 需要 配置 IP 地 址 。 
此 时 内 部 网 络 和 外 部 网 络 必须 处 于 同一 个 子 网 中 。 
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图 目录 


1. 防火 墙 的 基本 概念 
1.1 安全 区 域 
1.2 防火 墙 工 作 模 式 
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会 话 (Session) 


USG 防 火 墙 是 状态 防火 墙 ， 采 用 会 话 表 维持 通信 状态 。 会 话 表 包 
括 五 个 元 素 : 源 |P 地 址 、 源 端口 、 目 的 IP 地 址 、 目 的 端口 和 协议 
号 (如 果 支 持 虚 拟 防 火 墙 的 话 还 有 一 个 VPN-ID)。 当 防火 墙 收 到 报 
文 后 ， 根 据 上 述 五 个 元 素 查 询 会 话 表 ， 并 根据 具体 情况 进行 如 下 
操作 : 


报 文 的 五 元 组 匹配 会 话 表 转发 该 报 文 


报 文 的 五 元 组 域 间 规则 允许 通过 转发 该 报 文 ws 创建 会话 
不 匹配 会 话 表 表 表 项 


域 间 规则 不 允许 通过 REAO 
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会 话 是 状态 防火 墙 的 基础 ， 每 一 个 通过 防火 墙 的 会 话 都 会 在 防火 墙 上 建 
立 一 个 会 话 表 项 ， 以 五 元 组 ( 源 目的 IP 地 相 、 源 目的 端口 、 协 议 号 ) 为 
Key 值 ， 通 过 建立 动态 的 会 话 表 来 为 高 优先 级 域 提供 更 高 的 安全 性 。 
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会 话 相关 命 Ap 令 


查看 防火 墙 的 Session 信 息 

[USG2100] display firewall session table verbose 
Current Total Sessions : 1 

telnet VPN:public --> public 

TTL: 00:10:00 Left: 00:10:00 Interface: 

InLoopBackO NextHop: 127.0.0.1 MAC: 00-00-00-00-00-00 


<--packets:1269 bytes:66769 -->packets:1081 bytes:43715 
128.18.196.6:2855-->128.18.196.200:23 


重 置 防火 墙 的 session 


<USG2100> reset firewall session table 
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display firewall session table [verbose] 


用 来 现实 系统 当前 的 会 话 表 项 信息 和 verb5se 参 数 来 控制 是 否 显 示 详细 
的 信息 。 


如 上 所 示 : 
Current Total Sessions: 1 当前 会 话 表 数 统计 。 
。 telnet 说 明 会 话 类 型 是 使 用 telnet 协 议 。 
。 VPN 表示 方式 为 淮 源 方向 --> 目 的 方向 。 
TIL 该 会 话 表 项 总 的 生存 时 间 。 
Left 该 会 话 表 项 剩余 生存 时 间 。 
Interface 出 接口 。 
NextH6OP- 下 一 跳 IP 地 址 。 
MAC 下 一 跳 MAC 地 址 。 
<--packets:1269 bytes:66769 该 会 话 入 方向 的 包 数 和 字 节 数 统计 。 
-->packets:1081 bytes:43715 该 会 话 出 方向 的 包 数 和 字 节 数 统计 。 
Reset Session 表 项 操作 得 谨慎 ， 因 为 在 运行 业务 将 会 中 断 。 
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会 话 相 关 命 令 
查看 防火 墙 的 Session aging-time 
[USG2100] display firewall session aging-time 


Sequence Pre-defined Timeout(s) 


[USG2100] firewall session aging-time icmp 15 
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有 了 动态 创建 的 会 话 表 后 ， 会 话 表 就 成 为 了 于 个 资源 ， 为 避免 资源 耗 尽 ， 
防火 墙 上 的 会 话 表 都 有 老化 时 间 ， 根 据 应 用 的 不 同 可 以 单独 设 定 ; 在 指 
定 的 时 间 内 没有 报 文通 过 的 话 会 话 表 就 会 被 老化 掉 。 


display firewall session aging-time 用 来 显示 所 有 的 表 项 老化 时 间 的 设 
置 。 该 值 对 应 命令 display firewall session table verbose 显 示 的 表 项 中 
的 TTL 值 。 


系统 对 于 各 种 协议 都 有 默认 的 表 项 老化 时 间 ， 单 位 为 秒 。 


当然 ， 用 户 可 以 根据 需要 修改 这 些 默认 的 值 。 比 如 把 ICMP 类 型 的 老化 
时 间 改 成 15 秒 。 
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+ > ` » 
防火 墙 长 连接 会 话 
配置 ACL， 用 于 控制 需要 长 连接 会 话 的 数据 流 
[USG2100] acl 3001 
[USG2100-acl-adv-3001] rule permit tcp source 10.100.10.20 
设置 长 连接 的 老化 时 间 
[USG2100] firewall long-link aging-time 2 
在 域 间 应 用 长 连接 
[USG2100] firewall interzone trust untrust 
[USG2100-interzone-trust-untrust] long-link 3001 inbound 





[USG2100]display firewall session table verbose 

FTP VPN: public -> public Remote 

Zone: zone1 -> out TTL: 168:00:00 Left: 168:00:00 

Interface: E1.200 Nexthop: 2.0.200.1 MAC: 00-00-02-00-c8-01 
<-- packets:9 bytes:774 --> packets:7 bytes:602 
10.100.10.3-->10.100.10.2:21(LongLink) 
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会 话 表 项 的 老化 机 制 在 一 些 特殊 的 应 用 中 会 导致 问题 ， 因 为 实际 应 用 中 ， 
防火 墙 某 些 会 话 类 型 的 老化 时 间 相 对 较 短 ,- 而 对 应 数据 流 很 长 时 间 没 有 
报 文 刷新 ， 但 是 Session 需 要 保持 不 能 被 老化 。 为 解决 这 一 矛盾 ， 防 火 
墙 提出 长 连接 特性 。 长 连接 功能 用 于 设置 特定 数据 流 的 超 长 老化 时 间 。 
该 数据 流 由 ACL 确 定 。 数 据 流 的 老化 时 间 不 受 全 局 老化 时 间 限 制 。 
防火 墙 使 用 命令 firewall long-link aging-time 来 调整 表 项 的 老化 时 间 。 
firewall long-link aging-timesinterval 

interval: 长 连接 老化 时 间 尘 范围 为 th~480h， 缺 省 值 为 168h。 
long-link acl-number {inbound | outbound } 

acl-number: ACL 规 则 号 。 范 围 为 3000 一 3999。 

inbound: 在 安全 域 间 的 入 方向 使 能 长 连接 功能 。 

outbound 六 在 安全 域 间 的 出 方向 使 能 长 连接 功能 。 

该 命令 用 于 使 能 防火 墙 的 长 连接 功能 。 域 间 的 入 域 方向 和 出 域 方向 可 以 
单独 或 同时 关联 ACL 规 则 。 入 域 方向 和 出 域 方向 可 以 关联 不 同 的 ACL 规 
则 。 


配置 过 程 中 ， 建 议 不 要 引用 范围 过 大 的 ACL 规 则 ， 否 则 会 影响 到 防火 墙 
的 性 能 。 
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OEE: 


防火 墙 的 基本 概念 
防火 墙 关键 技术 
防火 墙 基本 功能 
防火 墙 扩展 功能 
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© F 


2. 防火 墙 关 键 技术 
2.1 ASPF 
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ASPF 


ASPF (Application Specific Packet Filter) 是 一 种 改进 的 高 级 通信 
过 滤 技术 ，ASPF 不 但 对 报 文 的 网 络 层 的 信息 进行 检测 ， 还 能 对 丰 
富 的 应 用 层 协议 进行 深度 检测 ， 支 持 多 媒体 业务 的 NAT 以 及 安全 防 
范 功能 ， 支 持 的 协议 包括 : H.323 协 议 族 、MGCP、SIP、H248、 
RTSP、HWCC 及 ICMP、FTP、DNS、PPTP、NBT、ILS、HTJPw 
SMTP 等 。 

基于 ACL 规 则 的 包 过 滤 可 以 在 网 络 层 和 传输 层 检 测 数据 包 , Boles 
法 入 侵 。 

ASPF 对 应 用 层 的 协议 信息 进行 检测 ， 通 过 维护 会 话 的 状态 和 检查 
会 话 报 文 的 协议 和 端口 号 等 信息 ， 阻 止 恶 意 的 入 侵 。 
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ASPF 在 Session 表 的 数据 结构 中 维护 着 连接 的 状态 信息 ， 并 利用 这 些 信 
息 来 维护 会 话 的 访问 规则 。ASPF 保 存 着 不 能 由 访问 列表 规则 保存 的 重 
要 的 状态 信息 。 防 火 墙 检验 数据 流 中 的 每 一 个 报 文 ， 确 保 报 文 的 状态 与 
报 文本 身 符合 用 户 所 定义 的 安全 规则 。 连 接 状 态 信息 用 于 智能 的 允许 / 禁 
止 报 文 。 当 一 个 会 话 终止 时 ，Session 表 项 也 将 被 删除 ， 防 火 墙 中 的 会 
话 也 将 被 关闭 。 

对 于 TCP 连 接 ，ASPF 可 以 智能 的 检测 “TCP 的 三 次 握手 的 信息 ”和 
“拆除 连接 的 握手 信息 ” 沪 通 过 检测 握手 、 拆 连接 的 状态 检测 ， 保 证 一 
个 正常 的 TCP 访 问 可 | 关 正 常 进行 ， 而 对 于 非 完整 的 TCP 握 手 连接 的 报 文 
会 直接 拒绝 。 


UDP 是 无 连接 的 报 文 ， 所 以 也 没有 真正 的 UDP 连接 ”。 因 为 ASPF 是 基 
于 连接 的 ， 它 将 对 UDP 报 文 的 源 、 目 的 IP 地 址 、 端 口 进行 检查 ， 通 过 判 
断 该 报 文 是 否 与 所 设 定 的 时 间 段 内 的 其 他 UDP 报 文 相 类 似 ， 而 近似 判断 
是 否 存在 一 个 连接 。 


在 管 通 的 场合 ， 一 般 使 用 的 是 基于 ACL 的 IP 包 过 滤 技 术 ， 这 种 技术 比较 
简单 玉 但 缺乏 一 定 的 灵活 性 ， 在 很 多 负责 应 用 的 场合 普通 包 过 滤 是 无 法 
完成 对 网 络 的 安全 保护 的 。 例 如 对 于 类 似 于 应 用 FTP 协 议 进 行 通信 的 多 
通道 协议 来 说 ， 配 置 防火 墙 则 是 非常 困难 的 。 
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ASPF 使 得 USG 系 列 防 火 墙 能 够 支持 一 个 控制 连接 上 存在 多 个 数据 连接 
的 协议 ， 同 时 还 可 以 在 应 用 非常 复杂 的 情况 下 方便 的 制订 各 种 安全 的 策 
略 。 大 部 分 多 媒体 应 用 协议 (如 H.323、SIP) FTP, Net Meeting 等 
协议 使 用 约定 的 端口 来 初始 化 一 个 控制 连接 ， 再 动态 的 选择 端口 用 于 数 
据 传 输 。 端 口 的 选择 是 不 可 预测 的 ， 其 中 的 某 些 应 用 甚至 可 能 要 同时 用 
到 多 个 端口 。 因 此 包 过 滤 防火 墙 只 有 阻止 单 通道 的 应 用 传输 ， UZAR 
网 络 遭 受 攻 击 ， 只 能 仅仅 阻止 了 一 些 使 用 固定 端口 的 应 用 ， 而 留 下 子 许 
多 安全 隐患 。 而 ASPF 监 听 每 一 个 应 用 的 每 一 个 连接 所 使 用 的 端 回 yY PT 
开 合 适 的 通道 让 会 话 中 的 数据 能 够 出 入 防火 墙 ， 在 会 话 结束 时 关闭 该 通 
道 ， 从 而 能 够 对 使 用 动态 端口 的 应 用 实施 有 效 的 访问 控制 





sit 
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多 通道 协议 


多 通道 协议 

。 是 指 某 个 应 用 在 进行 通讯 或 提供 服务 时 需要 建立 两 个 以 上 的 会 
话 (通道 ) ， 其 中 有 一 个 控制 通道 ， 其 他 的 通道 是 根据 控制 通 
道中 双方 协商 的 信息 动态 创建 的 ， 一 般 我 们 称 之 为 数据 通道 或 
子 通道 。 多 通道 协议 在 状态 防火 墙 当 中 需要 特殊 处 理 。 

单 通道 协议 

。 是 指 某 个 应 用 在 进行 通讯 或 提供 服务 时 只 需要 建立 一 个 会 话 的 
应 用 协议 。 根 据 TCP 三 次 握手 机 制 ， 状 态 防火 墙 能 够 维护 会 话 
的 五 元 组 信息 。 
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多 通道 协议 在 防火 墙 应 用 以 及 NAT 设 备 的 应 用 中 需要 特殊 处 理 ， 因 为 数 
据 通道 的 端口 是 不 固定 的 〈 协 商 出 来 的 六 其 报 文 方向 也 是 不 固定 的 。 基 
于 防火 墙 的 安全 策略 ， 没 有 开放 的 端 日 报 文 是 会 被 拒绝 的 ， 所 以 对 于 动 
态 协商 的 端口 ， 防 火 墙 需要 动态 的 打开 ， 利 用 ASPF 技 术 。 

多 通道 协议 的 典型 应 用 有 很 多 ， 最 典型 的 是 FTP， 其 他 的 一 般 都 和 音频 
或 视频 通讯 有 关 如 : H.323 瓜 和 包括 T.120、RAS、Q.931 和 H.245 等 ) 、 
SIP、MGCP， 此 外 许多 实时 聊天 通讯 软件 也 是 多 通道 协议 的 ， 如 MSN， 
QQ，ICQ 等 。 
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ASPF 与 多 通道 协议 


防火 墙 创建 Servermap 表 项 


三 次 握手 


三 次 握手 





Port 192.168.0.1 89,3 





200 Port Command OK 


Port 192.168.0.1 89,3 





200 Port Command OK 








RETR Sample.txt 





RETR Sample.txt 











|,_150 Opening ASCII connection |。150 Opening ASCII connection 





SYN SYN 


入 192.168.0.1:22787 
WL 
Ae 


192.168.0.1 








192.168.0.1:22787 





FTP server 
检测 Servermap 表 项 仿 中 中 19-49-10.10 


SG 防火墙 表 项 ， 打 开通 道 


WA Huawei 
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FTP 应 用 包含 一 个 预知 端口 (21) 的 TCP 控 制 通道 和 一 个 动态 协商 的 
TCP 数 据 通 道 ， 对 于 一 般 的 包 过 滤 防 火 墙 来 说 ， 配 置 安全 策略 时 无 法 预 
知 数据 通道 的 端口 号 ， 因 此 无 法 确定 数据 通道 的 入 口 。 这 样 就 无 法 配置 
准确 的 安全 策略 。ASPF 技 术 则 解决 了 这 一 问题 ， 它 检测 IP 层 之 上 的 应 
用 层 报 文 信息 ， 并 动态 地 根据 报 文 的 内 容 创建 和 删除 临时 的 Servermap 
表 项 ， 以 允许 相关 的 报 文通 过 。 


从 上 图 中 可 以 看 出 ，Seryermap 表 项 是 对 FTP 控 制 通道 中 数据 动态 检测 
的 过 程 中 动态 产生 的 , 当 报 文通 过 防火 墙 时 ，ASPF 将 对 报 文 与 指定 的 
访问 规则 进行 比较 A 如果 规则 允许 ， 报 文 将 接受 检查 ， 否 则 报 文 直接 被 
丢弃 。 如 果 该 报 文 是 用 于 打开 一 个 新 的 控制 或 数据 连接 ，ASPF 将 动态 
的 产生 Servermiap 表 项 ， 对 于 回来 的 报 文 只 有 是 属于 一 个 已 经 存在 的 有 
效 的 连接 ， 才 会 被 允许 通过 防火 墙 。 在 处 理 回 来 的 报 文 时 ， 状 态 表 也 需 
要 更 新 。/ 当 一 个 连接 被 关闭 或 超时 后 ， 该 连接 对 应 的 状态 表 将 被 删除 ， 
确保 未 经 授权 的 报 文 不 能 随便 透 过 防火 墙 。 因 此 通过 ASPF 技 术 可 以 保 
证 在 复杂 应 用 的 情况 下 ， 依 然 可 以 非常 精确 的 保证 网 络 的 安全 。 

USG 防 火 墙 在 对 多 通道 协议 支持 的 时 候 ， 采 用 了 5 元 组 的 Session 表 项 + 
3 元 组 的 Servermap 表 项 的 结合 方式 实现 ， 这 样 在 很 大 程度 上 保证 了 内 
部 网 络 的 安全 性 。 因 为 Servermap 表 项 是 一 个 “临时 入 口 ” 表 项 ， 
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当真 正 的 数据 报 文 来 了 以 后 ， 会 根据 这 个 数据 报 文 + Servermap 进 行 完 
整 判 断 ， 确 定 这 个 连接 是 一 个 合法 的 数据 通道 。 当 数据 通道 建立 了 之 后 ， 
会 为 这 个 数据 通道 建立 一 个 基于 5 元 组 的 Session 通 道 ， 而 Servermap 表 
项 不 再 有 报 文 命中 ， 就 会 被 老化 掉 ， 这 样 就 避免 了 因为 多 通道 协议 的 特 
点 ， 而 产生 一 个 永久 的 三 元 组 通道 ， 避 免 了 内 部 网 络 暴露 的 安全 隐患 。 


ASPF 检 测 主 控制 通道 数据 应 用 层 上 的 内 容 以 获得 相关 参数 。 数据 通道 SC 
建立 后 ， 对 数据 通道 不 做 内 容 检 测 。 

对 于 上 图 中 ， 端 口号 的 计算 方式 为 22787 = 89*256+3, 这 是 FTP 的 报 文 
格式 所 约定 的 。 
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三 元 组 ASPF 


USG 相 当 于 一 个 六 元 组 (支持 VPN 情 况 下 ， 有 VPN-ID) 的 NAT 设 备 ， 即 
防火 墙 上 的 每 个 会 话 的 建立 都 需要 六 元 组 : 源 IP 地 址 、 源 端口 、 目 
的 IP 地 址 、 目 的 端口 、 协 议 号 和 VPN-ID。 只 有 这 些 元 素 都 具备 了 ， 
会 话 才能 建立 成 功 ， 报 文才 能 通过 。 而 一 些 实时 通讯 工具 ， 如 QQ、 
MSN 等 ， 通 过 NAT 设 备 ， 需 要 按 三 元 组 处 理 : 源 IP 地 址 、 源 端口、 
协议 号 。USG 为 了 适 配 类 似 QQ、MSN 等 通讯 机 制 ， 支持 三 元 组 处 
理 方式 ， 让 类 似 QQ、MSN 等 的 通讯 方式 能 够 正常 的 穿越 。 

除 QQ、MSN 穿 越 NAT 设 备 外 ， 其 他 仅 使 用 源 IP 地 址 、 源 端口 、 协 议 
号 的 会 话 ， 如 TFTP， 同 样 需要 配置 防火 墙 三 元 组 ASBPFS 
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TFTP 是 一 个 传输 文件 的 简单 协议 ， 它 其 巴 UBP 协 议 而 实现 ， 但 是 我 们 
也 不 能 确定 有 些 TFTP 协 议 是 基于 其 它 传输 协议 完成 的 。 此 协议 设计 的 
时 候 是 进行 小 文件 传输 的 。 因 此 它 不 有 具备 通常 的 FTP 的 许多 功能 ， 它 只 
能 从 文件 服务 器 上 获得 或 写 入 文件 从 不 能 列 出 目录 ， 不 进行 认证 ， 它 传 
输 8 位 数据 。 传 输 中 有 三 种 模式 : netascii， 这 是 8 位 的 ASCIIl 码 形式 ， 另 
一 种 是 octet， 这 是 8 位 源 数据 类 型 ， 最 后 一 种 mail 已 经 不 再 支持 ， 它 将 
返回 的 数据 直接 返回 给 用 户 而 不 是 保存 为 文件 。 


因为 TFTP 基 于 UDP， 而 UBP 基 于 IP，IP 可 以 还 使 用 其 它 本 地 通信 方法 。 
因此 一 个 TFTP 包 中 会 有 以 下 几 段 : 本 地 媒介 头 ，IP 头 ，UDP 头 ，TFTP 
头 ， 剩 下 的 就 是 TFTR 数 据 了 。TFTP 在 IP 头 中 不 指定 任何 数据 ， 但 是 它 
使 用 UDP 中 的 源 和 目标 端口 以 及 包 长 度 域 。 由 TFTP 使 用 的 包 标 记 (TID) 
在 这 里 被 用 做 端口 ”因此 TID 必 须 介 于 0 到 65,535 之 间 。 对 它 的 初始 化 我 
们 在 后 面 讨论 。TFTP 头 中 包括 两 上 字 节 的 操作 码 ， 这 个 码 指出 了 包 的 
类 型 下 面 我 们 看 看 大 体 上 的 TFTP 包 格式 。 
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初始 连接 时 候 需要 发 出 WRQ (请 求 写 入 远程 系统 ) 或 RRQ (请 求 读 取 
远程 系统 ) ， 收 到 一 个 确定 应 答 ， 一 个 确定 可 以 写 出 的 包 或 应 该 读 取 的 
第 一 块 数据 。 通 常 确认 包 包 括 要 确认 的 包 的 包 号 ， 每 个 数据 包 都 与 一 个 
块 号 相对 应 ， 块 号 从 1 开始 而 且 是 连续 的 。 因 此 对 于 写 入 请 求 的 确定 是 
一 个 比较 特殊 的 情况 ， 因 此 它 的 包 的 包 号 是 0。 如 果 收 到 的 包 是 一 个 错 
误 的 包 ， 则 这 个 请 求 被 拒绝 。 创 建 连接 时 ， 通信 双方 随机 选择 一 个 TIDWC 
因为 是 随机 选择 的 ， 因 此 两 次 选择 同一 个 ID 的 可 能 性 就 很 小 了 。 每 父 包 
包括 两 个 TID， 发 送 者 ID 和 接收 者 ID。 这 些 ID 用 于 在 UDP 通信 时 选择 端 
口 ， 请 求 主 机 选择 ID 的 方法 上 面 已 经 说 过 了 ， 在 第 一 次 请 求 的 时 候 它 会 
将 请 求 发 到 TID 69， 也 就 是 服务 器 的 69 端 口上 。 应 答 时 ， 服 务 器 使 用 一 
个 选择 好 的 TID 作 为 源 TID ， 并 用 上 一 个 包 中 的 TID 作 为 目的 ID 进行 发 送 。 
这 两 个 被 选择 的 ID 在 随后 的 通信 中 会 被 一 直 使 用 。 


因为 TFTP 没 有 安全 控制 机 制 ， 因 此 安全 问题 应 该 多 如 考虑 * 通常 TFTP 
人 允许 下 载 数据 而 不 允许 上 传 数据 。 
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ASPF 配 和 置 


进入 安全 区 域 域 间 
[USG2100] firewall interzone trust untrust 
打开 ASPF 功 能 
[USG2100-interzone-trust-untrust] detect protocol 


[USG2100-interzone-trust-untrust] detect { activex-blocking | java- 


blocking } 
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Detect protocol: ASPF ZF AANE PESAT MAA : 


FTP, H.323. HTTP, HWCC (Huawei Conference control Protocol) ~ 
MSN, NetBIOS, PPTP, QQ, RTSP? 


protocol 参 数 还 可 以 为 all、activex-blocking 和 java-blocking， 分 别 表示 
设置 所 有 ASPF 应 用 协议 检测 以 及 设置 ActiveX 阻 断 、Java 小 程序 阻 断 时 
的 ACL 访 问 控制 列表 。 


Java Blocking (Java 阻 断 ) »: 保护 网 络 不 受 有 害 Java Applets 的 破坏 。 
ActiveX Blocking_、(AetiveX 阳 断 ) : 保护 网 络 不 受 有 害 ActiveX 的 破坏 。 
inbound: 过 滤 从 接口 收 上 来 的 数据 包 。 

outbound: 过 滤 从 接口 转发 的 数据 包 。 

备注 : 

使 用 detectall 命 令 不 能 设置 Java 阻 断 和 ActiveX 阻 断 ; 

{£ Hundo, detect all 命 令 不 能 取消 所 设置 的 Java 阻 断 和 ActiveX 阻 断 。 
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OEE: 


防火 墙 的 基本 概念 
防火 墙 关键 技术 
防火 墙 基本 功能 
防火 墙 扩展 功能 
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3. 防火 墙 基本 功能 
3.1 黑 名 单 
3.2 MACHE 
3.3 端口 映射 
3.4 IDS 联 动 
3.5 日 志 
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黑 名 单 


黑 名 单 特点 : 
。 根据 报 文 的 源 IP 地 址 进行 过 滤 
。 简单 高 效 


。 可 动态 添加 删除 
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黑 名 单 指 根据 报 文 的 源 IP 地 址 进行 过 滤 的 了 种 方式 。 同 基于 ACL 的 包 过 
滤 功 能 相 比 ， 由 于 黑 名 单 进行 匹配 的 域 非常 简单 ， 可 以 以 很 高 的 速度 实 
现 报 文 的 过 滤 ， 从 而 有 效 地 将 特定 IP 地 址 发 送 来 的 报 文 屏蔽 。 黑 名 单 最 
主要 的 一 个 特色 是 可 以 由 USG 防 火 墙 动态 地 进行 添加 或 删除 ， 当 防火 墙 
中 根据 报 文 的 行为 特征 察觉 到 特定 IP 地 址 的 攻击 企图 之 后 ， 通 过 主动 修 
改 黑 名 单列 表 从 而 将 该 IP 地 址 发 送 的 报 文 过 滤 掉 。 因 此 ， 黑 名 单 是 防火 
墙 一 个 重要 的 安全 特性 。 


黑 名 单 因为 其 动态 特性 ， 规 则 添加 简单 以 及 对 报 文 过 滤 的 操作 简单 性 而 
曾经 被 广泛 应 用 ,。 不 过 随 着 高 速 ACL 相 关 技 术 被 广泛 应 用 而 逐渐 失去 优 
势 ， 特 别 是 在 一 些 应 用 场景 会 出 现 一 些 问题 ， 因 此 在 实际 应 用 中 不 推荐 
使 用 。 使 用 的 时 候 一 定 要 小 心 。 
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静态 黑 名 单 配置 


Eth1/0/0 Eth1/0/1 
192.168.10.1/24 202.169.168.1/24 


服务 器 i PC 


192.168.10.2/24 202.169.168.2/24 


[USG2100] firewall blacklist item 202.169.168.2 timeout 100 
[USG2100] firewall blacklist enable 
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firewall blacklist item source-address [timeout interval ] 


若 使 用 timeout interval 参 数 ， 则 意味 着 该 黑 名 单 表 项 会 在 指定 的 老化 时 
间 后 被 自动 删除 ， 从 而 对 源 自 相应 IP 地 址 的 报 文 过 滤 功 能 也 随 之 消失 。 


若 不 使 用 该 参数 ， 则 意味 着 该 表 项 永远 有 效 ， 不 会 被 老化 。 
timeout 的 单位 为 分 钟 ， 取 值 范围 为 1-1000。 
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动态 黑 名 单 配置 


Eth1/0/0 Eth1/0/1 
192.168.10.1/24 202.169.168.1/24 


服务 器 PC 
192.168.10.2/24 202.169.168.2/24 
[USG2100] firewall defend ip-sweep enable 
[USG2100] firewall defend ip-sweep max-rate 1000 
[USG2100] firewall defend ip-sweep blacklist-timeout 20 


[USG2100] firewall blacklist enable 
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动态 黑 名 单 配置 ， 和 防火 墙 的 攻防 模块 配合 : 
使 能 地 址 扫描 攻击 防范 功能 。 
[USG2100] firewall defend ip-sweep enable 


配置 抵制 扫描 攻击 防范 功能 : 

[USG2100] firewall defend ip-sweep max-rate 1000 // 从 同一 源 地 
址 向 外 发 送 报 文 的 月 的 IP 变 化 速率 的 阅 值 ， 如 果 变 更 速度 超过 1000 个 每 
秒 ， 则 认为 是 IP 扫 描 攻 击 ; 取 值 范围 为 1 次 / 秒 一 10,000 次 / 秒 ， 默 认 4000 
次 / 秒 。 

[USG2100] firewalNdefend ip-sweep blacklist-timeout 20 // 将 攻击 源 IP 
加 入 黑 名 单 并 设 定 其 在 黑 名 单 内 的 保持 时 间 ， 取 值 范围 为 1min 一 
1000min ， 默 认 值 为 20min， 即 不 加 入 黑 名 单 。 

[USG2100] firewall blacklist enable /命令 用 来 开启 黑 名 单 
功能 。ack-number ACL 的 编号 , 整数 形式 ， 取 值 范 围 为 2000 一 3999。 
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墨 名单 配置 验证 


[USG2100] display firewall blacklist item 

Total:1 Manual:1 IP Sweep:0 Port Scan:0 
IDS:0 Login Failed:0 PreAuthed:0 Get Flood:0 
tcp-illeage-session:0 Unknown:0 


IP Reason _ InsertTime AgeTime Vpn- 
instance 


202.169.168.2 Manual 2009/05/12 17:47:35 Permanent 
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display firewall blacklist { enable | item [ysource-address ] } 

BR: 

enable: 显示 黑 名 单 功能 运行 状况 % 

item source-address: 显示 黑 名 单 表 项 内 容 。source-address 为 表 项 的 
IP 地 址 。 

描述 : 

命令 display firewall blacklist 显 示 防 火 墙 黑 名 单 功能 的 运行 状况 和 黑 名 
单 表 项 信息 。 参 数 itemv[ sour-address ] 显 示 黑 名 单 表 项 信息 ， 如 果 不 指 
定 IP 地 址 ， 显 示 当 前 全 部 黑 名 单 表 项 的 概要 信息 ， 如 果 指 定 了 要 显示 的 
IP 地 址 ， 显 示 特 定 黑 名 单 表 项 的 详细 信息 。 人 参数 enable 显 示 黑 名 单 功能 
的 运行 状况 4 


Age Timie 表 示 黑 名 单 的 老化 时 间 ; 
InsertTime 表 示 表 项 已 经 经 过 的 时 间 ， 逐 渐 递 增 至 老化 时 间 。 


REASON: Manual 表 示 为 静态 黑 名 单 表 项 ; Logging failed 表 示 Telnet 
三 次 登录 失败 的 黑 名 单 表 项 ; IPSweep/PortScan 表 示 IP 地 址 扫描 或 端口 
扫描 黑 名 单 表 项 。 





第 40 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





图 目录 
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MACHE 


问题 的 提出 
。 网 络 中 常 有 一 些 假冒 IP 地 址 的 攻击 


MAC 绑 定 应 用 限制 条 件 
。 与 二 层 直接 相连 的 网 络 
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MAC 和 |IP 地 址 绑 定 ， 指 防火 墙 可 以 根据 用 户 的 配置 ， 在 特定 的 IP 地 址 和 
MAC 地 址 之 间 形 成 关联 关系 。 对 于 声称 从 这 个 IP 发 送 的 报 文 ， 如 果 其 

MAC 地 址 不 是 指定 关系 对 中 的 地 址 ， 防 火 墙 将 予以 丢弃 。 发 送 给 这 个 IP 
地 址 的 报 文 ， 在 通过 防火 墙 时 将 被 强制 发 送 给 绑 定 的 MAC 地 址 ， 从 而 形 
成 有 效 的 保护 ， 是 避免 |P 地 址 假冒 攻击 的 一 种 方式 。 

MAC 和 IP 地 址 绑 定 功能 一 般 应 用 在 与 二 层 交 换 机 直接 相连 的 时 候 ， 可 以 
防止 假冒 IP 地 址 攻击 , .ARPFI6od 攻 击 ，DHCP Flood 攻 击 等 ， 还 可 以 

应 用 于 用 户 认 证 。 
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MAC 绑 定 配置 


Eth1/0/0 Eth1/0/1 
192.168.10.1/24 202.169.168.1/24 


e 


服务 器 PC 
192.168.10.2/24 202.169.168.2/24 


[USG2100] firewall mac-binding enable 
[USG2100] firewall mac-binding 202.169.168.2 00e0-fc00-0100 
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firewall mac-binding { enable | ip-addressSimac-address } 
参数 : 


enable: 使 能 地 址 绑 定 功能 ， 配 置 Mac 绑 定 一 定 要 使 能 绑 定 功能 ， 否 则 
绑 定 不 生效 。 


ip-address: 指定 地 址 绑 定 对 的 叫 地 址 。 
mac-address: 指定 地 地 绑 定 对 的 MAC 地 址 。 
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MAC 绑 定 配置 验证 


[USG2100] display firewall mac-binding item 
Firewall Mac-binding items : 

Current items : 3 

192.168.2.18 0087-0326-ea9d 
202.1.1.8 00e0-fc08-0589 

202.1.1.9 00e0-fc98-5679 
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display firewall mac-binding { enable | item þip-address ] } 

参数 : 

enable: 显示 地 址 绑 定 功能 运行 状况 。 

item: 显示 地 址 绑 定 表 项 内 容 。 

ip-address: 要 显示 的 表 项 的 限 地 址 。 

描述 : 

命令 display firewalljmac:binding 显 示 防 火 墙 地 址 绑 定 功能 的 运行 状况 和 
地 址 绑 定 表 项 信息 参数 item [ip-address ] 显 示 地 址 绑 定 表 项 信息 ， 如 
果 不 指定 IP 地 址 ， 显 示 当 前 全 部 地 址 绑 定 表 项 的 概要 信息 ， 如 果 指 定 了 


要 显示 的 IP 地 址 ， 显 示 特 定 地 址 绑 定 表 项 的 详细 信息 。 人 参数 enable 显 示 
地 址 绑 定 功能 的 运行 状况 。 
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端口 映射 


问题 的 提出 


。 内 部 服务 器 在 非 知 名 端口 提供 知名 服务 ， 例 如 在 1021 端 口 提 供 
FTP 服 务 x 


端口 映射 
。 防火 墙 并 非 要 更 改 数据 包 的 端口 信息 
。 可 以 用 来 保护 因为 知名 端口 而 带 来 的 针对 性 攻击 
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端口 映射 是 解决 端口 和 服务 类 型 映射 关系 的 二 个 配置 功能 ， 对 于 使 用 非 
知名 端口 提供 知名 服务 时 的 业务 识别 非常 有 用 ， 典 型 的 ftp 的 服务 端口 是 
21， 如 果 有 些 用 户 将 1021 端 口 作 为 fp 的 服务 端口 ， 怎 么 办 呢 ? 可 以 通 
过 port-mapping 命 令 来 绑 定 该 对 应 关系 ， 这 样 1021 端 口 的 服务 就 被 自动 
识别 成 ftp 服 务 了 ， 另 外 如 果 该 端 因 只 对 特定 地 址 有 效 可 以 通过 ACL 来 限 
制 识 别 范围 。 

端口 映射 能 够 对 不 同 的 应 用 协议 创建 和 维护 一 张 系统 定义 (system- 
defined) FIR AZ. (user-defined) 的 端口 识别 表 。 


USG 防 火 墙 支持 基于 基本 ACL 的 主机 端口 识别 。 这 种 主机 端口 识别 是 对 
去 往 某 些 特定 主机 的 报 文 建立 自 定义 端口 号 和 应 用 协议 的 识别 。 例 如 : 
将 去 往 10.110.0.0 网 段 的 主机 使 用 8080 端 口 的 TCP 报 文 识别 为 HTTP 报 
文 。 主 机 的 范围 可 由 基本 ACL 指 定 。 

需要 指出 ， 主 机 端口 识别 与 包 过 滤 引 用 的 ACL 有 如 下 差别 : 

包 过 滤 中 ， 防 火 墙 只 允许 从 “ 源 地 址 ”到 “目的 地 址 ”的 报 文通 过 ; 
主机 端口 识别 中 ， 只 用 基本 ACL 定 义 主 机 的 范围 即 可 ， 不 存在 方向 性 ， 
即 源 或 者 目的 IP 匹 配 该 ACL 定 义 的 范围 即 认为 匹配 。 
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端口 映射 组 网 示例 


网 段 网 段 
FTP Server WWW Server 
220.78.30.0 
129.38.1.1/24 129.38.1.3/24 eee X 


3 3 Eth1/0/0 USG 


129.38.1.5/24 


公司 内 部 以 太 网 
Eth2/0/0 
202.38.160.1/16 
202.39.2.3/24 
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如 上 图 所 示 ， 某 公司 对 外 提供 WWW 和 FP 服务 ， 通 过 配置 防火 墙 ， 希 
望 能 够 识别 以 下 端口 : 

将 去 往 主机 129.38.1.1/32 的 使 用 端口 写 80 的 报 文 识别 为 FTP 报 文 ; 

将 去 往 网 段 129.38.1.0/24 的 使 用 端口 号 5678 的 报 文 识别 为 HTTP 报 文 。 
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端口 映射 配置 验证 


[USG2100] display port-mapping 
SERVICE PORT ACL 


system defined 

system defined 

system defined 

554 system defined 

1720 system defined 
80 2010 user defined 
5678 2020 user defined 
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display port-mapping [protocol-name | port port-number ] 
参数 : 


protocol-name: 指定 用 于 端口 识别 的 应 用 的 名 称 。 可 选 的 应 用 有 : ftp. 
http、h323、smtp、rtsp。 


port port-number: 端口 识别 的 端口 号 ，port-number 取 值 范围 是 0 一 
65535. 
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配置 参考 


[USG2100] acl number 2010 
[USG2100 -acl-basic-2010] rule permit source 129.38.1.1 0.0.0.0 
[USG2100] port-mapping ftp port 80 acl 2010 


将 去 往 主机 129.38.1.1 的 使 用 端 
号 80 的 报 文 识别 为 FTP 报 文 














[USG2100] acl number 2020 
[USG2100-acl-basic-2020] rule permit source 129.38.1.0 0.0.0.255 
[USG2100] port-mapping http port 5678 acl 2020 
[USG2100] firewall interzone dmz untrust 
[USG2100 -interzone-dmz-untrust] detect ftp 

需要 在 域 间 detect 相 应 的 协议 
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port-mapping protocol-name port port-number acl acl-number 
参数 : 


protocol-name: 应 用 的 名 称 。 可 选 的 应 用 有 : ftp、http、h323、smtp、 
rtsp。 


port-number: 端口 号 ， 取 值 汇 围 是 0 一 65535。 
acl-number: 基本 访问 列表 全 取 值 范围 是 2000~2999。 
描述 : 

命令 port-mapping 用 来 建立 端口 到 应 用 层 协议 的 识别 。 


USG2100 防 火 墙 支持 基于 基本 访问 控制 列表 (ACL) 的 主机 端口 识别 。 
基于 基本 访问 控制 列表 的 主机 端口 识别 是 对 去 往 某 些 特定 主机 的 报 文 建 
立 自 定义 端口 号 和 应 用 协议 的 识别 ， 主 机 的 范围 由 基本 的 ACL 指 定 。 
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IDS 联 动 


防火 墙 的 局 限 性 
。 防火 墙 不 能 防止 通 向 站 点 的 后 门 ; 
。 防火 墙 一 般 不 提供 对 内 部 的 保护 ; xX 
。 防火 墙 无 法 防范 数据 驱动 型 的 攻击 ; 
。 防火 墙 不 能 根据 网 络 被 恶意 使 用 和 攻击 的 情况 动态 调整 自己 的 策略 等 $ 
IDS (Intrusion Detection System ， 入 侵 检 测 系统 ) 的 优势 
。 实时 地 监视 、 分 析 网 络 中 所 有 的 数据 报 文 ， 发 现 并 实时 处 理 所 捕 获 的 


数据 报 文 ， 对 系统 记录 的 网 络 事件 进行 统计 分 析 ， 发 现 异常 现象 ， 主 
动 切断 连接 或 与 防火 墙 联动 ， 调 用 其 他 程序 处 理 。 
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由 于 防火 墙 自身 具有 一 定 的 局 限 性 ， 如 检查 的 颗粒 度 较 粗 ， 难 以 对 众多 
的 协议 细节 进行 深入 的 分 析 与 检查 ， 并 县 防火 墙 具 有 防 外 不 防 内 的 特点 ， 
难以 对 内 部 用 户 的 非法 行为 和 已 经 渗透 的 攻击 进行 有 效 的 检查 和 防范 ， 

对 数据 驱动 型 攻击 无 法 防范 等 。 因 此 ，USG 防 火 墙 开放 了 相关 接口 ， 通 
过 与 其 它 安 全 软件 进行 联动 ， 从 而 构建 统一 的 安全 网 络 。 


IDS 入 侵 检 测 系统 的 作用 : 

。 实时 地 监视 、 分 析 网 络 中 所 有 的 数据 报 文 

。 发 现 并 实时 处 理 所 捕 获 的 数据 报 文 

。 对 系统 记录 的 网 络 事件 进行 统计 分 析 

。 发 现 异 常 现象 ， 主 动 切断 连接 或 与 防火 墙 联动 ， 调 用 其 他 程序 处 

理 

IDS 系 统 就 像 在 网 络 上 装备 了 网 络 分 析 器 ， 对 网 络 传输 进行 监视 。 该 系 
统 熟 悉 最 新 的 政 击 手段 ， 而 且 尽力 检查 通过 的 每 个 报 文 ， 从 而 尽早 处 理 
可 疑 的 网 络 传输 。 具 体 采 取 的 措施 由 用 户 使 用 的 特定 IDS 系 统 和 配置 情 
SURES 
USG 防 淡 墙 可 以 联动 的 IDS 系 统 有 : 
启明 是 辰 的 IDS; 安 氏 IDS; 天 龙马 IDS; 金 诺 网 安 IDS; 华为 NIP IDS 
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与 IDS 联 动 组 网 示例 


INTERNET 


NIP NIDS 


受 保护 服务 器 群 
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防火 墙 定 义 相关 的 安全 区 域 ， 如 上 图 ， 虽 S 监 测 进入 DMZ 区 域 的 数据 。 

通过 端口 镜像 技术 ， 把 DMZ 区 域 的 流量 镜像 一 份 给 NIP IDS，IDS 基 于 

此 数据 进行 检测 ， 一 旦 发 现 有 异常 情况 通过 报警 通知 系统 管理 员 和 与 
防火 墙 联动 ， 由 防火 墙 来 阻 断 相 应 的 攻击 流 。 
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与 1DS 联 动 配置 


[USG2100] firewall ids server 192.168.10.10 

[USG2100] firewall ids port 3000 

[USG2100] firewall ids authentication type md5 key huawei123 
[USG2100] firewall ids enable 


最 后 一 定 得 使 
能 IDS 的 功能 
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firewall ids server ip-address 
firewall ids server 命 令 用 于 配置 外 接 IDS 服 务 器 的 IP 地 址 。 
firewall ids port port-number 


port port-number: 设置 使 用 的 端 晶 号 ， 取 值 范 围 是 1025~65535， 缺 
省 为 40000， 防 火 墙 通过 40060 端 口 与 外 接 IDS 服 务 器 通讯 。 


firewall ids authentication type.{ md5 [ key key-string ] | none } 
md5: 与 外 接 IDS 服 务 器 采用 MD5 进 行 报 文 认 证 。 

none: 与 外 接 IDS 服 务 器 不 进行 报 文 认证 。 

key key-string: 未 加 密 的 密 钥 ， 取 值 范围 是 字符 串 ， 长 度 为 1 一 16。 
缺 省 情况 下 ， 与 外 接 IDS 服 务 器 不 进行 报 文 认证 ， 即 采用 none 方 式 。 
firewalfids enable 命 令 用 于 启动 外 接 IDS 功 能 。 


打开 防火 墙 外 接 IDS 功 能 时 ， 应 首先 配置 IDS 服 务 器 的 IP 地 址 以 及 报 文 的 
认证 方式 % 
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IDS 配 置 验证 


[USG2100] display firewall ids 
Firewall IDS information: 
firewall IDS: enable 
debug flag: off 
server port: 3000 
authentication type: md5 
authentication string: huawei123 


client address 0: 192.168.10.10 
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debug flag: off 
如 果 防 火 墙 上 打开 了 IDS 的 调试 开关 则 debug flag 为 on。 


防火 墙 可 以 和 多 个 IDS Server 联 动 入 Server 的 IP 地 址 以 client address0， 
client address1 等 顺序 列 出 。 但 其 它 的 一 些 参数 如 端口 ， 验 证 参数 等 都 


46 
IF Elo 
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图 目录 


3. 防火 墙 基本 功能 
3.1 黑 名 单 
3.2 MACHE 
3.3 端口 映射 
3.4 IDS 联 动 
3.5 日 志 
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攻击 防范 
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USG 防 火 墙 能 够 输出 以 下 几 种 日 志 信 息 ; 
NAT 日 志和 ASPF 流 日 志 


日 志 内 容 中 包含 一 个 完整 流 的 源 地 址 、 产 端口 、 目 的 地 址 、 目 的 端口 等 
信息 ， 及 流 的 开始 和 结束 时 间 、\ 流 的 状态 信息 等 。 对 于 使 用 NAT 功 能 的 
流 还 标识 了 地 址 转换 之 后 的 地 址 和 端口 信息 。 

攻击 防范 日 志 

当 发 生 大 量 攻击 时 ，USG 防 火 墙 利用 队列 机 制 对 防火 墙 支持 的 攻击 防范 
特性 提供 日 志 告 警 信 意 ， 通 过 SYSLOG 方 式 输出 告警 ， 告 警 信息 包括 攻 
击 来 源 〈 源 地 址 冷 和 攻击 种 类 等 。 


WBA g E 
流量 监控 I 


USG 防 火 墙根 据 安 全 域 、IP 地 址 等 参数 进行 流量 监控 ， 判 断 速率 或 连接 
数目 是 否 达 到 上 限 或 下 限 值 ， 当 达到 上 限时 触发 告警 并 记录 日 志 ， 从 而 
有 效 监控 流量 $ 当 达 到 下 限时 ， 也 触发 告警 ， 指 示 系 统 恢复 正常 。 
黑 名 单 日 志 

USG 防 火 墙 对 于 在 检测 中 发 现 的 非法 用 户 ， 自 动 将 该 用 户 的 源 IP 地 址 加 
闪 到 黑 名 单 中 ， 并 产生 一 条 黑 名 单 日 志 ， 该 日 志 记 录 主 机 地 址 、 加 入 原 
因 等 信息 。 
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多 种 统计 信息 

记录 流 统 计 信 息 ， 了 解 防 火 墙 运行 状况 。 这 些 流 统计 信息 包括 : 总 的 连 
接 数目 、 当 前 连接 及 半 连 接 数 目 、 最 高 峰值 及 丢弃 报 文 数目 。 记 录 各 种 
攻击 报 文 的 数目 ， 了 解 攻击 事件 的 发 生 情况 。 


地 址 绑 定 日 志 K 
记录 用 户 配 置 操 作 的 IP 与 Mac 地 址 绑 定 的 信息 。 
在 USG 防 火 墙 中， 攻击 防范 、 流 量 监控 、 黑 名 单 和 地 址 绑 定 产 生 的 是 志 


信息 量 小 ， 因 此 采用 SysLog 方 式 以 文本 格式 进行 输出 。 这 些 月 志 信 息 必 
须 通过 VRP 平 台 的 信息 中 心 进行 日 志 管 理 和 输出 重 定向 ， 或 者 显示 在 终 


端 屏幕 上 ， 或 将 SysLog 日 志 发 送 给 日 志 采 集 服 务 器 进行 存储 和 分 析 。 
相反 ，NAT/ASPF 产 生 的 日 志 信息 量 很 大 ， 因 此 对 于 这 种 类 型 的 流 提 供 
了 一 种 “二 进 制 ”输出 方式 ， 直 接 输 出 到 日 志 采 集 服务 器 上 以 便 对 日 志 
进行 存储 和 分 析 ， 无 需 USG 上 的 信息 中 心 模块 的 参与 。 相 比较 而 言 ， 二 
进 制 流 日 志 的 传输 效率 高 于 Syslog。 








nid 
ol 
x 
= 
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日 志 输 出 配置 组 网 示例 


日 志 © 
服务 器 4 Ethernet1/0/0 Ethernet2/0/0 


192.168.10.1/24 192.168.3.1/24 


192.168.10.2/24 
Ethernet2/0/1 
192.168.8.1/24 
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防火 墙 USG 以 太 网 口 Ethernet1/0/0 配 置 为 了 rust 域 ， 以 太 网 口 
Ethernet2/0/0 配 置 为 Untrust 域 ， 以 太 网 同 Ethernet2/0/1 配 置 为 DMZ 区 。 
防火 墙 向 日 志 主 机 输出 攻击 防范 日志 信息 。 
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日 志 输 出 配置 


[USG2100] info-center enable 


[USG2100] info-center loghost 192.168.10.2 language english "4 


[USG2100] firewall session log-type binary host 1 192.168.10.2 
9002 
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开启 信息 中 心 。 

[USG2100] info-center enable 

配置 日 志 主 机 IP 地 址 为 192.168.10。 

[USG2100] info-center loghost 192.168.10.2 language english 


通过 设置 日 志 主 机 的 IP 地 址 ， 可 使 信息 在 该 方向 输出 。 语 言 可 选择 中 文 
或 英文 ， 默 认为 英文 。 


对 于 Nat/ASPF 配 慎 三 进 制 流 日 志 输出 格式 ， 并 配置 日 志 主 机 的 I|P 地 址 
和 接收 日 志 端 辐 。 


[USG2100] firewall session log-type binary host 1 192.168.10.2 9002 
传输 协议 为 DP 协 议 。 
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日 志 配 置 验证 


[USG2100] display info-center 
Information Center enabled 
Log host: 
192.168.10.2, channel number 2, channel name loghost, 
language english , host facility local7 
Console: 
channel number : 0, channel name : console 
Monitor: 


channel number : 1, channel name : monitor 
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该 命令 详细 信息 显示 如 下 : 
[USG2100]display info-center 
Information Center:enabled 
Log host: 
192.168.10.2, channel number 2, channel name loghost, 


language.english , host facility local7 


Log buffer: 
enabled,max buffer size 1024, current buffer size 512, 
current messages 23, channel number : 4, channel name : logbuffer 


dropped*messages 0, overwritten messages 0 
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OEE: 


防火 墙 的 基本 概念 
防火 墙 关键 技术 
防火 墙 基本 功能 
防火 墙 扩展 功能 
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OEE: 


4. 防火 墙 扩展 功能 
4.1 负载 均衡 
4.2 虚拟 防火 墙 
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负载 均衡 


当前 的 网 络 应 用 中 ， 单 台 服 务 器 的 处 理 能 力 已 经 成 为 网 络 中 的 
瓶颈 ， 尤 其 是 在 IDC、 网 站 等 应 用 场合 。 

USG 防 火 墙 的 负载 均衡 即 是 将 用 户 流量 分 配 到 多 个 服务 器 上 ， xX 
从 而 达到 流量 分 担 的 目的 ， 进 而 保障 服务 器 的 可 用 性 。 防 火 

墙 按 照 配 置 的 算法 ， 将 用 户 流量 分 配 到 不 同 的 服务 器 上 。 充 

分 利用 各 个 服务 器 的 处 理 能 力 ， 达 到 最 佳 的 可 扩展 性 。 
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当前 的 网 络 应 用 中 ， 单 台 服 务 器 的 处 理 能 为 已 经 成 为 网 络 中 的 瓶颈 ， 尤 
其 是 在 IDC、 网 站 等 应 用 场合 。 具 体 体现 在 : 单 路 服务 器 的 平均 处 理 能 
力 仅 为 1KTPS， 而 访问 服务 器 的 由 户 却 很 多 。 如 果 单纯 升级 服务 器 的 
性 能 ， 则 浪费 了 前 期 的 投资 ， 且 费用 昂贵 ; 如 果 增 加 服务 器 的 数目 ， 会 
造成 控制 复杂 ， 容 错 和 热 备 元 余 能 力 有 限 ， 且 抗 网 络 DoS 攻 击 能 力 弱 。 
USG 防 火 墙 的 负载 均衡 即 是 将 用户 流量 分 配 到 多 个 服务 器 上 ， 从 而 达到 
流量 分 担 的 目的 ， 进 而 保障 服务 器 的 可 用 性 。 防 火 墙 按 照 配 置 的 算法 ， 
将 用 户 流量 分 配 到 不 同 的 服务 器 上 ， 充 分 利用 各 个 服务 器 的 处 理 能 
达到 最 佳 的 可 扩展 性 s 

防火 墙 负载 均衡 功能 解决 了 单 台 服务 器 处 理 能 力 有 限 的 问题 。 所 用 的 负 
载 算法 主要 是 : 源 地 址 HASH 算 法 、 轮 询 算法 以 及 加 权 轮 询 算法 。 
典型 的 应 用 会 将 防火 墙 放 在 私 网 出 口上 。 除 提供 负载 均衡 功能 外 ， 防 火 
墙 还 能 广 持 常规 攻击 防范 ， 保 障 服务 器 的 安全 。 
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负载 均衡 组 网 示例 


服务 器 1 
10.1.1.3/24 


Eth1/0/0 Eth1/0/1 
202.2.2.1/24 10.1.1.1/24 


PC USG 
202.2.2.3/24 vip 202.2.2.2 


服务 器 2 服务 器 3 
10.1.1.4/24  10,1.1.5/24 
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内 部 网 络 中 DMZ 区 域 存在 三 台 真 实 服务 器 对 外 提供 FTP 服 务 ，IP 地 址 分 
别 为 10.1.1.3/24、10.1.1.4/24 和 10.1.1.5/24。 对 外 的 虚拟 IP 地 址 为 
202.2.2.2 。PC 位 于 外 网 Untrust 区 域 , 配 置 防火 墙 SLB 功 能 ， 保 证 服务 
器 的 负载 均衡 。 





第 64 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





负载 均衡 配置 


[USG2100] slb enable 
[USG2100] slb 使 能 SLB 和 自动 健 
康 检查 功能 。 
[USG2100 -slb] rserver 1 rip 10.1.1.3 
[USG2100 -slb] rserver 2 rip 10.1.1.4 
[USG2100 -slb] rserver 3 rip 10.1.1.5 
[USG2100] firewall packet-filter default permit interzone local dmz 


direction outbound 由 于 防火 墙 对 实 服务 器 缺 省 进行 健康 行 检查 ， 此 
时 需要 配置 允许 健康 检查 报 文 在 防火 塘 Bocal 和 
DMZ 域 间 出 方向 流 
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rserver rserver-id [ to end-rserver-id ] rip*ip-address [ [ active | inactive | 
healthchk ] | description text | weight weight ] 


参数 描述 : 

rserver-id: 真实 服务 器 ID ， 整 数 形 区 ， 范 围 为 0 一 128。 

end-rserver-id: 批量 配置 服务 器 时 指定 的 最 后 一 个 真实 服务 器 ID ， 整 数 
形式 ， 范 围 为 0 一 128。 注 意 end:rserver-id 要 大 于 rserver-id ， 否 则 不 能 
配置 。 

rip ip-address: 设置 真实 服务 器 的 IP 地 址 。 批 量 配置 时 ，IP 地 址 自动 往 
后 加 1。 如 配置 ID 为 133 的 真实 服务 器 ， 设 置 rip ip-address 为 


10.100.1.1， 则 3 个 真实 服务 器 IP 地 址 分 别 为 10.100.1.1、10.100.1.2 和 
10.100.1.3。 


active | inactive's 激 活 /去 激活 真实 服务 器 。 当 真实 服务 器 被 强制 设置 激 
活 或 去 激活 状态 后 ， 防 火 墙 不 对 其 进行 健康 性 检查 。 缺 省 状态 为 不 配置 
真实 服务 器 的 状态 ， 即 防火 墙 对 真实 服务 器 进行 健康 性 检查 。 
healthchk: 配置 防火 墙 对 真实 服务 器 的 健康 行 检查 。 

weightweight: 设置 真实 服务 器 的 权重 ， 防 火 墙 可 根据 服务 器 指定 的 权 
重 判 断 数据 流 应 该 流向 哪 一 台 服 务 器 。 其 中 ，weight 为 实 服务 器 的 权重 。 
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整数 形式 ， 范 围 为 1 一 63。 缺 省 值 为 32。 


description text: 设置 描述 文本 。 其 中 ，text 为 服务 器 描述 文本 ， 字 
形式 ， 长 度 为 1~31。 


描述 : 使 用 rserver 配 置 真实 服务 器 的 IP 地 址 。 


a 
Ht 
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负载 均衡 配置 ( 续 ) 


[USG2100 -slb] group group1 

[USG2100 -slb-group- group1] metric roundrobin 
[USG2100 -slb-group- group1] addrserver 1 

[USG2100 -slb-group- group1] addrserver 2 

[USG2100 -slb-group- group1] addrserver 3 

[USG2100 -slb] vserver huawei vip 202.2.2.2 group group1 
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metric { srchash | roundrobin | weightrr } 
参数 : 
e Srchash: 源 地 址 哈 希 算法 8 
。 roundrobin: 轮 询 算法 。 
e weightrr: 加 权 轮 询 算 法 。 
缺 省 情况 下 ， 采 用 轮 询 算法 ; 
vserver server-name.vip ip-address group group-name [tcp | udp ] 
[ vport port-number[ rport port-number ] ] 


BR: 


e vserver server-name: 虚 服 务 器 名 称 。 字 符 串 形式 ， 长 度 为 1 一 
31. 


e Vip ip-address: 虚 服 务 器 IP 地 址 。 

à group group-name: 服务 组 名 称 。 字 符 串 形式 ， 长 度 为 1 一 31。 
step: 使 用 TCP 协 议 。 

。 udp: 使 用 UDP 协议 。 
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e vportport-number: 虚 端 口号 。 范 围 为 1~65535。 
e rport port-number: 实 端 口号 。 范 围 为 1~65535。 


描述 : vserver 命 令 用 于 配置 虚 服 务 器 ， 包 括 虚 服务 器 的 名 称 和 IP 地 址 、 
对 应 的 服务 器 组 、 使 用 的 协议 以 及 协议 使 用 的 虚 端 口号 和 实 端 口号 。 


xX 
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负载 均衡 配置 验证 


[USG2100 -slb] display this 
slb 
rserver 1 rip 10.1.1.3 weight 32 healthchk 
rserver 2 rip 10.1.1.4 weight 32 healthchk 
rserver 3 rip 10.1.1.5 weight 32 healthchk 
group group1 
metric roundrobin 
addrserver 1 
addrserver 2 
addrserver 3 


vserver huawei vip 202.2.2.2 group group1 
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Slb 配 置 验证 : 


防火 墙 上 配置 了 一 个 虚拟 IP202.2.2 兴 对 外 提供 服务 ， 对 应 的 内 部 服务 器 
的 服务 器 组 名 为 group1， 采 用 轮 询 调度 机 制 ， 里 头 包 含 的 内 部 服务 器 为 
1，2 和 3。 内 部 服务 器 的 真实 的 IP 地 址 分 别 为 10.1.1.3，10.1.1.4 和 
10.1.1.5， 并 且 防 火 墙 会 自动 对 服务 器 进行 健康 检查 ， 用 Ping 检 查 服务 
器 是 否 在 线 。 








HC Series HUAWEI TECHNOLOGIES 第 69 页 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





负载 均衡 效果 


[USG2100] display firewall session table 
icmp, (vpn: public -> public) 10.1.1.1:2048-->10.1.1.3:43 
icmp, (vpn: public -> public) 10.1.1.1:2048-->10.1.1.4:43 
icmp, (vpn: public -> public) 10.1.1.1:2048-->10.1.1.5:43 
FTP, (vpn: public -> public) 202.2.2.2:21[10.1.1.3:21]<-+202.2.2.3:1227 
FTP, (vpn: public -> public) 202.2.2.2:21[10.1.1.4:21]<-+202.2.2.3:1229 
FTP, (vpn: public -> public) 202.2.2.2:21[10.1.1.5:21]<-+202.2.2.3:1231 
FTP, (vpn: public -> public) 202.2.2.2:21[10.1.1.3:21]<-+202.2.2.3:1233 
FTP, (vpn: public -> public) 202.2.2.2:21[10.1.1.4:21]<-+202.2.2.3:1235 


Current Total Sessions : 8 
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从 防火 墙 的 Session 表 项 中 可 以 看 到 ， 前 面 入 个 ICMP 表 项 为 防火 墙 对 内 
部 服务 器 的 健康 检查 ， 用 ping 来 检测 。 

后 续 的 表 项 为 从 PC FTP 提 供 服务 的 虚 执 IP 202.2.2.2， 系 统 轮 询 调度 连 
接 请 求 给 不 同 的 内 部 服务 器 。 
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名 目录 


4. 防火 墙 扩展 功能 
4.1 负载 均衡 
4.2 虚拟 防火 墙 
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虚拟 防火 墙 


在 USG 上 创建 逻辑 上 的 虚拟 防火 
墙 (Virtual-firewall, Vfw) ， 能 
提供 防火 墙 的 出 租 业 务 ， 实 现 子 
网 隔离 和 解决 地 址 重叠 的 问题 。 
每 个 虚拟 防火 墙 都 是 VPN 实 例 
(VPN-Instance) 、 安 全 实例 和 
配置 实例 的 综合 体 ， 能 够 为 虚拟 
防火 墙 用 户 提供 私有 的 路 由 转发 
平面 、 安 全 服务 和 配置 管理 平面 。 
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随 着 近年 来 VPN 技 术 的 兴起 和 不 断 发 展 天 虚拟 防火 墙 技术 应 运 而 生 。 通 
过 在 Eudemon 上 创建 逻辑 上 的 虚拟 防火 墙 Virtual-firewall,Vfw) ， 能 
够 提供 防火 墙 的 出 租 业 务 。 每 个 虚拟 防火 墙 都 是 VPN 实 例 (VPN- 
Instance) 、 安 全 实例 和 配置 实例 的 综合 体 ， 能 够 为 虚拟 防火 墙 用 户 提 
供 私 有 的 路 由 转发 平面 、 安 全 服务 和 配置 管理 平面 。 


VPN 实 例 为 虚拟 防火 墙 提供 相 豆 隔 离 的 VPN 路 由 ， 与 虚拟 防火 墙 相关 的 

言 息 主 要 包括 : VPN 路 由 以 及 与 VPN 实 例 绑 定 的 接口 。VPN 路 由 将 为 转 
发 来 自 与 VPN 实 例 绑 定 的 接口 的 报 文 提 供 路 由 支持 。VPN 实 例 与 虚拟 防 
火 墙 是 一 一 对 应 的 。 


安全 实例 为 虚拟 防火 墙 提供 相互 隔离 的 安全 服务 ， 同 样 与 虚拟 防火 墙 一 
一 对 应 。 安 全 实例 县 备 私有 的 区 域 、 域 间 、ACL 规 则 组 和 NAT 地 址 池 ， 

并 且 能 够 将 绑 定 接口 加 入 私有 区 域 ; 安全 实例 能 够 为 虚拟 防火 墙 提供 地 
HARES 黑 名单 、 地 址 转换 、 包 过 滤 、 统 计 、 攻 击 防范 、ASPF 和 NAT 
ALG 等 私有 的 安全 服务 。 


配置 实例 为 虚拟 防火 墙 用 户 提供 相互 隔离 的 配置 管理 平面 ， 与 虚拟 防火 
墙 是 兰 一 对 应 的 。 虚 拟 防 火 墙 用 户 登 陆 防 火 墙 后 有 权 管 理 和 维护 私有 的 
VRN 路 由 和 安全 实例 。 
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创建 虚拟 防火 墙 后 ， 逻 辑 上 ， 防 火 墙 将 分 为 两 类 : 根 防 火 墙 (Root- 
firewall,Rfw) 和 虚拟 防火 墙 。 根 防火 墙 对 应 于 未 配置 虚拟 防火 墙 功能 的 
防火 墙 ， 并 和 所 有 虚拟 防火 墙 构成 超级 防火 墙 (Super-firewall,Sfw) 。 
超级 防火 墙 用 户 有 权 管 理 根 防 火 墙 和 所 有 虚拟 防火 墙 。 





xX 
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虚拟 防火 墙 


USG 防火 墙 支持 虚拟 防火 BA ma 
墙 特性 | = 
.每 个 虚拟 防火 墙 均 可 以 独 | ERX 
立 支持 Local、TRUST、 
UNTRUST、DMZ、 
VZONE 5 个 安全 区 域 ， 接 
口 灵活 划分 和 分 配 。 
.系统 资源 独立 分 配 ， 提 供 
独立 的 安全 业务 、NAT 多 实 
例 、VPN 多 实例 特性 。 
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USG 系 列 防 火 墙 支持 虚拟 防火 墙 功 能 ， 不 同 的 设备 型 号 ， 支 持 的 数量 指 
标 不 一 样 ， 有 的 为 100， 有 的 为 512 等 。 


在 VPN 网 络 环境 的 时 候 ， 可 以 使 用 一 合 防火 墙 设备 为 多 个 VPN 独 立 的 提 
供 安全 服务 。USG 系 列 防火 墙 的 VPN 服 务 + 强大 的 安全 业务 可 以 为 用 户 
构建 安全 可 靠 的 VPN 系 统 服 务 。 


每 个 虚 系 统 可 以 划分 多 个 物理 接口 或 者 是 VLAN 子 接口 ， 每 个 虚 系 统 可 
以 独立 拥有 五 个 安全 区 域 : Local, trust、untrust、DMZ、VZONE。 其 
中 VZONE 安 全 区 域 定义 了 从 一 个 虚 系 统 到 另外 虚 系 统 之 间 的 接口 ， 通 

过 VZONE, 一 个 虚 系 统 可 以 方便 的 控制 经 过 本 虚 系 统 到 外 部 虚 系 统 之 

间 的 流量 。Eudemon 防 火 墙 的 虚拟 防火 墙 系统 可 以 分 为 “根系 统 ” 和 

“虚拟 防火 墙 ”两 种 类 型 。“ 根 防火 墙 ”在 虚拟 防火 墙 系统 中 主要 是 连 
接 公 网 系统 (Internet) ，“ 虚 拟 防火 墙 ” 连 接 各 个 VPN 系 统 。 


USGA EE) Bak SAS AER | 

资源 独立 分 配 ， 每 个 虚 系统 的 转发 表 项 等 资源 是 独立 分 配 的 ， 这 样 从 技 
术 汪 就 保证 了 每 一 个 虚 系 统 和 一 个 独立 防火 墙 从 实现 上 是 一 样 的 。 而 且 
非常 安全 ， 各 个 虚 系 统 之 间 是 无 法 直接 访问 的 。 只 有 在 虚 系 统 之 间 引 入 
了 对 方 的 某 些 路 由 ， 才 可 以 使 得 虚 系 统 之 间 是 可 以 通信 的 。 
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引入 了 VZONE (虚拟 安全 区 域 ) 的 概念 ，VZONE 是 虚 系统 之 间 访 问 的 
策略 配置 的 必要 关口 ， 每 个 虚 系统 都 有 一 个 VZONE。 需 要 互通 的 两 个 
虚 系 统 之 间 只 有 都 打开 VZONE 对 应 的 安全 策略 ， 才 可 能 保证 两 个 安全 
区 域 之 间 的 访问 。 这 样 就 大 大 增加 了 虚 系统 之 间 的 安全 。 


所 有 的 安全 业务 都 可 以 针对 虚 系统 独立 配置 。 例 如 ， 包 过 滤 、NAT、z 
击 防范 等 等 。 这 样 在 用 户 使 用 虚 系统 服务 的 时 候 ， 也 可 以 同时 享受 各 和 
USG 所 能 提供 的 各 种 安全 业务 。 


每 个 虚 系统 提供 独立 的 管理 员 权 限 ， 针 对 虚 系 统 的 管理 员 只 能 管 
BEAR SRE Hee 也 只 能 看 到 自己 虚 系统 的 配置 。 对 虚 系统 管 
， 他 只 能 Ae 见 个 虚拟 独立 的 防火 墙 配置 。 

















里 各 自 
蛙 员 而 
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虚拟 防火 墙 区 域 
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虚拟 防火 墙 与 根 防火 墙 相 同 ， 系 统 缺 省 保留 五 个 安全 区 域 ， 分 别 为 本 地 
区 域 (Local) 、 受 信 区 (Trust) 、 非 军事 化 区 (DMZ) 、 非 受信 区 
(Untrust) 和 虚拟 区 域 (Vzone)%。 


一 个 VPN instance 缺 省 包含 local (安全 优先 级 100) trust (85) 

untrust (5) dmz (50) vzone (0) 五 个 安全 区 域 ， 每 个 vpn instance 
都 包含 一 个 vzone， 但 ，vzGrieslocal 是 不 同 的 。 每 个 vpn instance 都 有 
一 个 对 应 的 vzone， 从 理论 记 说 ，vzone 间 是 互相 连通 的 ， 因 此 在 配置 跨 
vpn 转发 的 时 候 ， 只 需要 丛生 个 vpn 实例 中 配置 trust- E Ua Gee 
再 在 另 一 个 vpn 实例 申 配置 vzone-untrust 的 包 过 滤 关 系 ， 就 可 以 使 会 
跨越 VPN 实 例 了 


在 防火 墙 中 y 当 报 文 从 高 优先 级 区 域 向 低 优先 级 区 域 发 起 连接 时 ， 如 从 
根 防 火 墙 的 Trust 区 域 向 Untrust 区 域 发 起 数据 连接 以 及 虚拟 防火 墙 中 ， 
从 DMZ 区 向 Untrust 区 发 起 数据 连接 时 ， 必 须 明 确 配置 缺 省 过 滤 规 则 。 


由 防火 墙 本 地 〈Local 区 域 ) 发 起 或 终止 的 报 文 不 进行 状态 检测 ， 这 类 
报 文 的 过 滤 由 包 过 滤 机 制 来 完成 。 
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虚拟 防火 墙 组 网 实例 


USG 


GigabitEthernet1/0/0 igabitEthernet2/0/0 
192.168.1.1/24 202.1.1.1/24 


PC3 
192.168.2.1/24 
| 202.1.1.2/24 


VPN: vpna 
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PC1 和 PC2 属 于 vpna，PC3 属 于 公 网 ,要求 Vypna 的 用 户 经 过 地 址 转换 
能 够 访问 公 网 中 的 地 址 PC3 。 


接口 IP 等 的 信息 如 图 所 示 。 
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虚拟 防火 墙 配置 一 接口 


[USG2100]ip vpn-instance vpna 

[USG2100 -vpn-vpnaJroute-distinguisher 100:1 

[USG2100]int GigabitEthernet1/0/0 

[USG2100-GigabitEthernet1/0/O]ip binding vpn-instance vpna 
[USG2100-GigabitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0 
[USG2100]int GigabitEthernet 1/0/1 

[USG2100 -GigabitEthernet1/0/1]ip binding vpn-instance vpna 
[USG2100 -GigabitEthernet1/0/1] ip address 192.168.2.1 255.255.255.0 
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虚拟 防火 墙 的 配置 和 普通 的 防火 墙 配置 基本 闻 致 ， 有 一 点 需要 注意 的 是 
凡是 加 入 到 虚拟 安全 区 域 的 接口 都 必须 先 绑 定 到 该 虚拟 实例 ， 然 后 再 配 
置 相应 的 IP 地 址 。 


省 略 号 的 主要 操作 为 把 接口 添加 进 相应 的 区 域 。 
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虚拟 防火 墙 配置 一 安全 策略 


[USG2100] acl number 2000 vpn-instance vpna 


[USG2100 -acl-basic-2000]rule permit K 


[USG2100]firewall interzone vpn-instance vpna trust untrust 


[USG2100 -interzone-trust-untrust-vpna]packet-filter 2000 
inbound 


[USG2100 -interzone-trust-untrust-vpna]packet-filter 2000 
outbound 
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对 于 在 同一 个 虚拟 防火 墙 内 部 的 各 区 域 之 间 的 通信 控制 ， 和 普通 的 防火 
墙 安 全 策略 配置 一 致 。 
被 VPN 实 例 引 用 的 ACL 必 须 关联 到 相应 的 VPN 实 例 。 
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跨 VPN 实 例 访问 配置 


[USG2100] nat address-group 1 202.1.1.3 202.1.1.8 vpn-instance 
vpna 


[USG2100] firewall interzone vpn-instance vpna trust vzone S 


[USG2100 -interzone-trust-vzone-vpna] packet-filter 2000 outbound 

[USG2100 -interzone-trust-vzone-vpna] nat outbound 2000 address- 
group 1 

[USG2100]ip route-static vpn-instance vpna 0.0.0.0 0 202.1.1.2 
public 
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如 果 需 要 跨 VPN 实 例 访问 ， 比 如 vpna 的 trust 区 域 需 要 访问 根 防 火 墙 的 
untrust 外 网 。 数 据 流 的 首 包 流向 是 : vpnia 的 trust 区 域 ->Vzone 区 域 -> 根 
防火 墙 的 untrust 区 域 ， 期 间 在 vpna 的 trust 至 vzone 方 向 做 一 次 地 址 转换 ， 
为 此 我 们 还 需要 为 vpna 的 路 由 表 添加 一 条 路 由 ， 下 一 跳 为 公 网 的 出 口 。 
至 于 返回 的 报 文 ， 根 据 绑 定 vpn 实例 的 地 址 池 中 的 地 址 ， 自 动 对 应 上 vpn 
实例 ， 还 原 回 相应 的 地 址 映射 关系 ， 并 查 vpn 的 IP 路 由 表 转 发 。 

备注 : 其 它 省 略 的 命令 主要 为 根 防 火 墙 untrust 区 域 的 接口 配置 及 vzone- 
>untrust 方 向 的 安全 策略 ,为 实验 方便 ， 我 们 简单 处 理 ， 默 认 报 文 全 部 
允许 通过 。 
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@ia 题 


防火 墙 和 路 由 器 的 主要 区 别 有 哪些 ? 
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。 防火 墙 是 状态 防火 墙 ， 维 护 连 接 信 息 ， 路 由 器 不 维护 连接 信息 ; 
。 面向 的 功能 不 一 样 ， 一 个 是 通信 控制 ， 一 个 是 互联 互通 ; 

。 防火 墙 在 针对 数据 的 安全 性 方面 作 了 更 多 的 检查 过 滤 功 能 ; 

。 防火 墙 有 安全 域 的 概念 而 路 由 器 只 有 接口 的 概念 。 
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UsG 防 火场 NAT 业 务 
特性 与 配置 
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ñi = 


随 着 因特网 的 快速 发 展 ， 它 所 面临 的 两 个 最 迫切 的 问题 就 是 IP 
地 址 的 匮乏 和 路 由 规模 的 扩大 。 对 此 ， 长 期 的 和 短期 的 解决 
方案 都 有 所 发 展 ， 那 就 是 网 络 地 址 转换 (NAT) 和 IPv6 (T 
一 代 因 特 网 协议 ) 技术 。 在 IPv6 技 术 尚 在 研究 中 且 还 未 完 爹 


取代 现 有 的 IPv4 网 络 的 情况 下 ， 短 期 解决 方案 一 一 NAT 技 术 
对 于 缓解 目前 的 地 址 缺乏 问题 显得 尤为 重要 。 
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音 训 | 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 描述 NAT 技 术 的 原理 
。 描述 USG 防 火 墙 的 各 种 NAT 特 性 
术 


。 描述 USG 防 火 墙 各 NAT 特 性 的 基本 组 网 与 配置 
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OEE: 


NAT 技 术 原理 
USG 防 火 墙 NAT 特 性 与 配置 



































Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 








第 86 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





NAT 基 本 原理 


Server 
202.120.10.2 





Untrust 
Etho/0/1 
202.169.10.1 

















192.168.1.2 





PC 
202.130.10.3 


NAT (Network Address Translation ， 地 址 转换 ) 是 将 IP 
数据 报 报头 中 的 IP 地 址 转换 为 另 一 个 I|P 地 址 的 过 程 
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地 址 转换 分 为 两 种 方式 : 
。 1: 1 转换 
© ” 私 网 地 址 和 公 网 地 址 一 一 对 应 ”不 转换 端口 。 
" RA: 实现 简单 ; 
"缺点: 一 个 秘 网 地 址 需要 一 个 公 网 地 址 与 之 对 应 ， 并 不 
能 解决 公 网 地 址 短缺 问题 。 
。 N: 1 转换 


。 ” 即 同时 转换 地 址 和 端口 ， 支 持 多 个 私 网 地 址 映射 为 同一 个 公 网 
地 址 ， 可 以 解决 公 网 地 址 短缺 问题 。 
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OEE. 


NAT 技 术 原 理 
USG 防 火 墙 NAT 特 性 与 配置 














Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 








第 88 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





NAT/PAT 地 址 转换 


地 址 池 最 多 支持 
4096 个 地 址 


Internet 


USG 
202.38.160.1 
202.38.160.2 
内 网 用 户 202.38.160.3 
定义 地 址 池 202.38.160.4 
[USG2100]nat address-group 1 202.38.160.1 202.38.160.4 
NAT 地 址 转换 
[USG2100]nat-policy interzone untrust trust inbound 
[USG2100-nat-policy-interzone-trust-untrust-inbound]policy 1 
[USG2100-nat-policy-interzone-trust-untrust-inbound-1]action source-nat 
[USG2100-nat-policy-interzone-trust-untrust-inbound-1]address-group 1 no-pat 
PAT 地 址 转换 
[USG2100]nat-policy interzone untrust trust inbound 
[USG2100-nat-policy-interzone-trust-untrust-inbound]policy 1 
[USG2100-nat-policy-interzone-trust-untrust-inbound-1]action source-nat 
[USG2100-nat-policy-interzone-trust-untrust-inbound-L]address-group 1 
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地 址 转换 支持 地 址 池 的 概念 ， 在 转换 时 , 户 忆 地 址 池 中 根据 一 定 的 规则 选 
择 一 个 IP 地 址 做 为 转换 后 的 源 地 址 ， 完 成 地 扯 转 换 。 这 个 选择 的 过 程 对 
用 户 来 讲 是 透明 的 ， 用 户 只 需要 将 他 具有 的 IP 地 址 配置 成 相应 的 地 址 池 
就 可 以 了 。 对 于 使 用 地 址 池 中 的 地 址 进行 转换 可 以 有 三 种 形式 : 
。 NAT: 1 对 1 的 地 址 翻译 入 静态 NAT， 内 网 中 的 每 个 主机 都 被 永 
久 映 射 成 外 网 中 的 某 个 合法 的 地 址 ， 多 用 于 服务 器 
。 PAT: 多 个 内 网 地 址 翻译 到 1 个 外 网 IP 地 址 ， 把 内 部 地 址 映射 到 
外 网 的 一 个 IP 地 址 的 不 同 端 口上 (有 些 协议 必须 保持 端口 不 变 ， 
如 NETBIOS4 在 NAT 转 换 上 时 ， 防 火 墙 会 自动 识别 这 些 协议 。) 
。 NPAT: 哆 个 内 部 网 地 址 翻译 到 N 个 IP 地 址 池 中 的 地 址 
USG2200/5100/5500. USG2200/5100 BSR/HSR 最 多 支持 1024 个 地 址 
池 ， 每 个 地 址 池 最 多 可 配置 4096 个 公 网 地 址 ; USG2110-X/2100、 
USG2100 BSRVHSR 最 多 支持 24 个 地 址 池 每 个 地 址 池 最 多 可 配置 4096 
个 公 网 地 址 。 





专利 技术 : 在 转换 时 不 单单 记录 报 文 的 源 地 址 /端口 转换 信息 ， 防 火 墙 还 
会 记录 报 文 的 目的 IP/ 端 口 信息 ， 这 样 就 可 以 用 相同 的 IP/ 端 口 提供 对 不 
同 目的 IP/ 端 口 的 报 文 的 NAT 转 换 了 。 
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策略 NAT 


10.1.1.1/32 


10.1.1.2/32 ‘wm 


PC2 


设置 控制 PC1 可 以 通过 
内 网 NAT 访 问 Internet， 而 
PC2 则 不 行 














定义 地 址 池 
[USG2100]nat address-group 1 202.38.160.1 202.38.160.4 

配置 策略 NAT 
[USG2100]nat-policy interzone trust untrust outbound 
[USG2100-nat-policy-interzone-trust-untrust-outbound]policy 1 
[USG2100-nat-policy-interzone-trust-untrust-outbound-1]policy source 10.1.1.10 
[USG2100-nat-policy-interzone-trust-untrust-outbound-1] action source-nat 
[USG2100-nat-policy-interzone-trust-untrust-outbound-1] address-group 1 
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USG 防 火 墙 的 地 址 转换 功能 ， 可 以 利用 访问 控制 列表 决定 什么 样 的 地 址 
可 以 进行 地 址 转换 。 如 果 某 些 主机 县 有 访问 Internet 的 权利 ， 而 某 些 主 
机 不 能 访问 Internet。 可 以 利用 policy 定 义 什 么 样 的 主机 不 能 访问 Internet， 
什么 样 的 主机 可 以 访问 Internet。 然 后 将 配置 好 的 policy 规 则 应 用 在 地 址 
转换 上 ， 就 可 以 达到 利用 policy 控 制 地 址 转换 的 功能 。 

如 图 ，PC2 不 需要 访问 Internet,s 那 么 可 以 通过 policy 进 行 控制 ， 限 制 
PC2 访 问 Internet。 使 得 PC2 只 能 访问 内 部 局 域 网 的 主机 。 
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NAT ALG 功 能 


NAT 和 NAPT 只 能 对 IP 报 文 的 头 部 地 址 和 TCP/UDP 头 部 的 端 

口 信息 进行 转换 。 对 于 一 些 特殊 协议 ， 例 如 ICMP、FTP 等 ， 

它们 报 文 的 数据 部 分 可 能 包含 iP 地 址 或 端 品 信息 ,这 些 内 WC 
容 不 能 被 NAT 有 效 的 转换 ， 就 可 能 导致 问题。 
例如 ， 一 个 使 用 内 部 IP 地 址 的 FTP 服 务 器 可 能 在 和 外 部 网 络 

主机 建立 会 话 的 过 程 中 需要 将 自己 的 IP 地 址 发 送 给 对 六 

而 这 个 地 址 信息 是 放 到 IP 报 文 的 数据 部 分 ，NAT 无 法 对 他 

进行 转换 。 当 外 部 网 络 主机 接收 了 这 个 私有 地 址 养神 疹 它 ， 

这 时 FTP 服 务 器 将 表现 为 不 可 达 。 
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解决 这 些 特殊 协议 的 NAT 转 换 问 题 的 方法 就 是 在 NAT 实 现 中 使 用 ALG 
(Application Level Gateway) 功能 。ALEG 是 特定 的 应 用 协议 的 转换 代 
理 ， 它 和 NAT 交 互 以 建立 状态 ， 使 用 NAIT 的 状态 信息 来 改变 封装 在 IP 报 
文 数据 部 分 中 的 特定 数据 ， 并 完成 其 他 必需 的 工作 以 使 应 用 协议 可 以 跨 
越 不 同 范围 运行 。 
USG 提 供 了 完善 的 地 址 转换 应 用 级 网 关机 制 ， 使 其 在 流程 上 可 以 支持 各 
种 特殊 的 应 用 协议 ， 而 不 需要 对 NAT 平 台 进行 任何 的 修改 ， 具 有 良好 的 
可 扩充 性 。 目 前 它 所 实现 了 常用 应 用 协议 的 ALG 功 能 包括 : 
e DNS; FTP 3H.323; HWCC (Huawei Conference control 
Protocol) œ ICMP; ILS (Internet Locator Service) ; MGCP 
(Media Gateway Control Protocol) ; MSN; NetBIOS; 
PPTR; QQ; RTSP (Real Time Streaming Protocol) 等 。 
NAT ALG 功 能 的 使 能 ， 在 域 间 使 用 detect Protocol， 就 会 使 能 对 应 协议 
的 NAT ALG 功 能 。 
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ASPF+NAT+ALG 


防火 墙 创建 地 址 映射 
Servermap 表 项 

202.1.0.1:20001<-> 

192.168.0.1:22787 





>44 
Port 192.168.0.1 89,3 | Port 202.1.0.1 78,33 








200 Port Command OK | 200 Port Command OK 











RETR Sample.txt A RETR Sample.txt 





150 Opening ASCII connection 
je 





I, 150 Opening ASCII connection 





SYN dest 192.168.0.1:22787 SYN dest 202.1.0.1:2001 


$ 192.168.0.1:22787 202.1.0.1:20001<-> 
y 192.168.0.1:22787 











#àWServermap tm, a 49.49.10.10 
USG 防 火 墙 ”后 根据 表 项 进行 Na 转换 
192.168.0.1 Nat outbound 
202.1.0.1 


\ a 人 FTP server 
用 户 
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FIPAS —AmAn ORT CPH ANEM SSATP, E 
行 Nat 操 作 的 时 候 ，Nat 设 备 需要 监控 并 替换 控制 通道 信息 ， 并 根据 替换 的 对 应 
关系 创建 用 于 NAT 转 换 的 Server Map 表 项 %。 对 于 一 般 的 NAT 设 备 来 说 ， 如 果 不 
对 控制 报 文 进行 相关 的 Nat Alg 处 理 将 相关 控制 命令 替换 成 NAT 后 的 控制 命令 所 
话 ， 服 务 器 端 可 能 会 拒绝 该 命令 ， 旭 果 不 建立 NAT 转 换 关系 的 对 应 表 项 的 话 ， 
后 续 报 文 将 无 法 转换 也 就 无 法 正确 的 访问 client。 

NAT ALG 相 关 功 能 则 解决 了 这 一 问题 ， 它 检测 协议 控制 通道 信息 ， 动 态 地 对 报 
文 进行 内 容 替 换 并 创建 和 删除 临时 的 Server map 表 项 ， 以 确保 数据 通道 报 文 
Nat 转 换 的 正确 性 。 
防火 墙 的 命令 配置 的 NATRSSERVER 也 会 产生 Server map 表 ， 这 个 表 项 是 永久 
的 。 除 非 将 NAT SERVER 配置 删 掉 。ALG 和 ASPF 处 理 的 时 候 ， 生 成 Server 
map 表 项 ， 都 是 临时 表 项 ， 有 老化 时 间 ， 在 老化 时 间 内 没有 访问 就 会 删除 。 
一 般 ALG 和 ASPF 建 立 Server map 表 后 ， 动 态 协 商 的 数据 流 的 首 报 文 命 
Server map 表 项 后 ”防火 墙 会 建立 SESSION 表 项 ， 后 续 的 数据 报 文 直接 通过 
SESSION 表 项 转发 ，SERVER MAP 表 项 就 不 再 被 命中 ， 慢 慢 的 老化 删除 掉 。 
reset.firewall session table 命 令 在 删除 SESSION 表 的 同时 ， 也 会 将 Server map 
表 顺 删除 3 
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映射 内 部 服务 器 


外 网 用 户 X 


WEB 服务 器 
10.110.5.101 -spn 
10.110.5.100 


配置 NAT SERVER 服务 器 


[USG2100]nat server protocol tcp global 202.110.1.241 ftp inside 10.100.5.100 
ftp 
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支持 私有 地 址 网 络 的 主机 可 以 访问 外 部 网 络 和 外 部 网 络 访问 内 部 服务 器 ， 
是 NAT 完 成 的 主要 功能 ， 也 是 必须 要 提供 的 功能 。 

支持 NAT Server 模 式 ， 可 以 向 外 映射 内 部 服务 器 ; 支持 1 对 多 的 映射 方 
式 ， 提 供 端口 级 的 NAT Server 模 式 AN 可 以 将 服务 器 的 端口 映射 为 外 部 的 
一 个 端口 ， 阻 塞 服务 器 的 其 它 端 风 ， 增 加 服务 器 的 安全 性 。 

USG 系 列 防 火 墙 借助 NAT 提 供 映射 内 部 服务 器 功能 ， 1 个 公 网 地 址 最 多 
支持 映射 256 个 服务 器 私 网 地 址 。 
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双 回 NAT 


192.168.1. 202.1.1. 
trust 1 一 (kuntrust 


192.168.1.1 202.1.1.10 


0 


配置 NAT SERVER 服务 器 
[USG2100]nat server global 192.168.1.20 inside 202.1.1.10 
[USG2100]nat server global 202.1.1.20 inside 192.168.1.40 
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当 低 优先 级 区 域 的 用 户 访问 NAT SERVER 的 公 网 地 址 时 ， 会 将 报 文 的 
目的 地 址 转换 为 内 部 服务 器 的 私 网 地 址 ,但 内 部 服务 器 需要 配置 到 该 公 
网 地 址 的 路 由 。 如 果 要 简化 配置 ,避免 配置 到 公 网 地 址 的 路 由 ， 则 可 以 
配置 从 低 优 先 级 区 域 到 高 优先 级 区 域 方向 的 NAT， 即 inbound 方 向 的 
NAT. 

同一 个 安全 区 域内 的 访问 需要 作 NAT， 则 需要 配置 域内 NAT 功 能 。 
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192.168.1.20 
防火 墙 配置 了 nat server global 202.1.1.10 inside 192.168.1.20 


配置 同一 域内 NAT 
[USG] nat address-group 1 202.1.1.11 202.1.1.11 
[USG] nat-policy zone trust 
[USG-nat-policy-zone-trust] policy 0 
[USG-nat-policy-zone-trust-0] policy source 192.168.1.0,0.0.0:255 
[USG-nat-policy-zone-trust-0] action source-nat 
[USG-nat-policy-zone-trust-0] address-group 1 
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内 网 服务 器 IP 地 址 为 私 网 IP， 在 防火 墙 上 对 其 配置 了 NAT SERVER, xf 
此 私 网 IP 地 址 实现 1 对 1 的 映射 。 

内 网 客户 端 访 问 NAT SERVER 的 公 网 地 址 的 时 候 ， 数据 包 目 的 服务 器 

IP 地 址 被 转换 为 私 网 地 址 ， 数 据 报 被 转发 到 内 网 服务 器 。 此 时 需要 在 内 
网 的 安全 域 上 配置 域内 NAT， 这 样 才能 保证 业务 正常 。 
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NAT 多 实例 


USG 上 独立 地 保存 三 
份 NAT 表 ， 可 以 承担 
不 同 VPN 用 户 的 地 址 
转换 服务 


xX 








采用 不 同 的 VLAN 子 接 ， 
口 对 应 不 同 VPN 的 方 
式 ， 防 火 墙 和 PE 设备 
连接 








| 
VPN2 用 户 


为 MPLS VPN 用 户 提供 统一 的 Internet 访问 
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USG 系 列 防火 墙 支 持 虚拟 防火 墙 、 地 址 转换 多 实例 、multi-VRF 等 VPN 
隔离 技术 ， 因 此 非常 适合 将 USG 防 火 墙 放 置 在 一 个 MPLS 骨 干 网 络 的 出 
口 ， 做 为 一 个 MPLS VPN 网 络 统 二 访问 Internet 的 出 口 设备 。 
USG 系 列 防火 墙 具 有 如 下 一 些 特点 ,MN 适合 完成 如 下 工作 : 
。 ”支持 完善 的 安全 防范 业务 和 可 以 避免 来 自 Internet 的 攻击 ， 保 护 
整个 MPLS 网 络 的 安全 
。 ”支持 完善 的 VLAN、VRF、OSPF、BGP 等 技术 ， 可 以 很 好 的 解 
决 MPLS 网 络 和 IP 网 络 的 融合 问题 。 
。 ”支持 业务 多 实例 特性 ， 资 源 独 立 存放 ， 可 以 很 好 的 解决 私 网 地 
tte Bay lam. 
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目的 地 址 NAT 


= (( ) ) 10.1.1.1/24 200.200.200.1/24 
e | 
GSR USG 


GGSN WAP 网 关 


配置 ACL 过 滤 规 则 
[USG2100] acl 3000 


[USG2100-acl-adv-3000] rule permit ip source 10.1.1.10 0 destination 2.2.2.0 
0.0.0.255 
配置 需要 作 目 的 NAT 的 acl 规 则 
[USG2100] firewall zone trust 
[USG2100-zone-trust] destination-nat 3000 address 200.200.200.3 
将 10.1.1.10-> 2.2.2.0 变换 为 10.1.1.10-> 200.200.2008 





目前 手机 上 网 的 需求 越 来 越 多 ， 有 些 手 机 来 自 海外 ， 并 且 它 们 的 WAP 网 
关 地 址 都 是 写 死 到 手机 中 的 ， 不 能 进行 天 为 更 改 ， 因 此 这 些 手 机 在 国内 
是 不 能 直接 登陆 到 WAP 网 关上 网 的 ， 为 了 满足 这 些 手机 上 网 的 需求 ， 增 
加 了 目的 NAT 特 性 ， 当 目的 地 址 为 这 些 手 机 的 WAP 网 关 地 址 的 数据 报 通 
过 防火 墙 时 ， 防 火 墙根 据 匹配 的 ACL 规 则 将 这 些 地 址 修改 为 运营 商 网 络 
中 实际 的 WAP 网 关 地 址 ， 从 而 使 这 些 手机 能 够 正常 登陆 WAP 网 关 。 

有 些 来 自 海外 的 、 手 机 的 WAR 网 关 地 址 为 内 网 地 址 ， 例 如 10.0.0.1， 
192.168.1.1 等 ， 这 些 地 址 不 能 进行 修改 ， 但 是 一 般 国 内 运营 商 的 WAP 
网 关 地 址 不 是 这 些 地 址 ， 央 此 需要 相关 的 设备 将 上 述 地 址 转换 为 实际 的 
WAP 网 关 地 址 。 

注意 事项 : 

由 于 所 有 的 手机 业务 都 要 通过 USG ， 因 此 要 注意 区 分 是 WAP 业 务 ， 还 
是 流 媒体 或 其 他 业务 ,一般 WAP 业 务 的 目的 地 址 用 的 是 私 网 地 址 ， 流 媒 
体 等 其 他 业务 是 公 网 地 址 ， 如 果 有 除了 WAP 业 务 之 外 的 其 他 业务 需要 配 
置 相应 的 静态 路 由 ， 并 且 在 创建 需要 作 目 的 NAT 的 规则 时 要 考虑 到 是 否 
是 WAP 业 务 。 


基本 原理 : 
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手机 上 网 业务 主要 由 移动 运营 商 的 WAP 网 关 提供 ，WAP 网 关 地 址 在 手 
机 中 已 经 配置 ， 手 机 连接 WAP 网 关 时 需要 经 过 GGSN，GGSN 相 当 于 电 
信和 网络 连接 Internet 的 一 个 网 关 。 当 手机 访问 WAP 网 关 时 ，GGSN 会 为 

每 一 个 手机 用 户 分 配 一 个 IP 地 址 ， 数 据 包 通 过 GSR 路 由 器 到 达 USG 防 火 
墙 ，USG 然 后 将 目的 地 址 为 WAP 网 关 的 数据 包 转发 到 WAP 网 关 。 如 果 
手机 的 上 网 地 址 不 是 WAP 网 关 时 ， 需 要 配置 相应 的 规则 ， 将 这 些 上 网 请 
求 的 目的 地 址 转换 为 WAP 网 关 的 地 址 。 


te Se a 
普通 命令 : 





destination-nat acl-num address X.X.X.X [ port port-num ] 


destination-nat acl-num address X.X.X.X [ port port-nuni 命 令 用 来 在 域 
上 配置 需要 作 目 的 NAT 的 功能 。 
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图 问 题 


NAT 技 术 的 优 缺 点 有 哪些 ? 
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。 ”优点 : 可 以 节省 已 经 不 够 用 的 IP 资 源 ; 还 有 可 以 隐藏 内 网 的 源 
机 器 ， 保 护 它 不 容易 受到 外 网 的 攻击 。 

。 GRR: 保护 内 网 的 同时 、 也 使 从 外 网 来 的 访问 变 得 麻烦 ， 另 外 
也 使 网 络 追踪 变 得 麻烦 ; 多 一 层 处 理 ， 可 能 多 引入 一 个 性 能 瓶 


Me 
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Oñ 言 
基于 防火 墙 的 组 网 位 置 和 功能 上 看 ， 对 一 些 非 法 攻击 的 防御 
是 防火 墙 设备 的 一 个 非常 重要 的 功能 ， 通 过 防火 墙 的 攻击 防 
范 的 防御 功能 可 以 保证 内 部 网 络 的 安全 ， 在 这 一 点 上 是 其 他 
数据 通信 设备 无 法 替代 的 ， 因 此 在 全 网 解决 方案 中 ， 防 火 墙 
是 必 不 可 少 的 一 个 部 件 。 
本 章 主 要 描述 了 基于 IP 的 各 种 网 络 攻 击 方 式 的 原理 及 其 在 
USG 防 火 墙 上 的 防范 配置 。 
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防火 墙 是 设置 在 被 保护 网 络 和 外 部 网 络 之 间 的 一 道 屏 障 ， 以 防止 发 生 不 
可 预测 的 、 潜 在 破坏 性 的 侵入 。 防 火 墙 由 设置 在 不 同 网 络 (如 可 信任 的 
企业 内 部 网 和 不 可 信和 的 公共 网 ) 或 网 络 安全 域 之 间 的 一 系列 部 件 的 组 合 
构成 。 它 是 不 同 网 络 或 网 络 安全 域 包间 信息 的 唯一 出 入 口 ， 能 根据 企业 
的 安全 政策 控制 允许、 拒绝、 监测 ) 出 入 网 络 的 信息 流 ， 且 本 身 具 有 
较 强 的 抗 攻击 能 力 。 防 火 墙 可 通过 监测 、 限 制 、 更 改 跨 越 防 火 墙 的 数据 
流 ， 尽 可 能 地 对 外 部 屏蔽 网 络 内 部 的 信息 、 结 构 和 运行 状况 ， 以 此 来 实 
现 网 络 的 安全 保护 。 

在 提供 丰富 的 攻击 防御 的 手段 来 保证 其 他 网 络 设备 安全 的 同时 ， 防 火 墙 
本 身 必须 具有 非常 好 的 性 能 表现 ， 否 则 即使 攻击 可 以 勉强 发 现 ， 但 是 防 
火 墙 本 身 资源 耗 尽 反 而 成 为 了 网 络 的 瓶 颈 ， 造 成 了 新 的 故障 点 。 
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音 训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 描述 IP 网 络 中 各 种 攻击 的 原理 
。 掌握 USG 防 火 墙 的 各 种 攻击 防范 的 配置 
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网 络 中 典型 的 攻击 类 型 


畸形 报 文 
。 Tear Drop 


e SYN Flood 
e UDP Flood 
e ICMP Flood 
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网 络 攻 击 可 分 为 拒绝 服务 型 攻击 、 扫 描 才 探 攻击 和 畸形 报 文 攻击 三 大 类 


拒绝 服务 型 攻击 

DoS (Deny of Service) 攻击 是 使 用 大 量 的 数据 包 攻击 系统 ， 使 系统 
法 接受 正常 用 户 的 请 求 ， 或 者 主机 挂 起 不 能 提供 正常 的 工作 。 主 要 

DoS 攻 击 有 SYN Flood、Fraggle 等 。 拒 绝 服务 攻击 和 其 他 类 型 的 攻击 

不 同 之 处 在 于 : 攻击 者 并 不 是 去 寻找 进入 内 部 网 络 的 入 口 ， 而 是 阻止 合 

法 用 户 访问 资源 或 路 由 器 8 

DDoS (Distributed*BDeriial of Service) 攻击 是 一 种 DoS 攻 击 。 这 种 攻 

击 是 使 用 攻击 者 控制 的 几 十 人 台 或 几 百 人 台 计 算 机 攻击 一 台 主 机 ， 使 系统 无 

法 接受 正常 用 户 的 请 求 ， 或 者 挂 起 不 能 正常 的 工作 。 

fate RDG 

扫描 帘 探 攻击 是 利用 ping 扫 射 (包括 ICMP 和 TCP) 来 标识 网 络 上 存活 

着 的 系统 ,从 而 准确 的 指出 潜在 的 目标 ; 利用 TCP 和 UDP 端 口 扫描 ， 就 

能 检测 出 操作 系统 和 监听 者 的 潜在 服务 。 攻 击 者 通过 扫描 窥探 就 能 大 致 

了 解 目标 系统 提供 的 服务 种 类 和 潜在 的 安全 漏洞 ， 为 进一步 侵入 系统 做 

好 准备 。 
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畸形 报 文 攻击 

畸形 报 文 攻击 是 通过 向 目标 系统 发 送 有 缺陷 的 IP 报 文 ， 使 得 目标 系统 在 
处 理 这 样 的 IP 包 时 会 出 现 崩 演 ， 给 目标 系统 带 来 损失 。 主 要 的 畸形 报 文 
攻击 有 Ping of Death、Teardrop 等 。 





xX 
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OEE. 


1. 攻击 防范 特性 与 配置 
1.1 拒绝 服务 攻击 
1.2 畸形 报 文 攻击 
1.3 ARAE 
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Smurf 攻击 


29 - Aen 
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攻击 介绍 : 


。Smurf 攻 击 方 法 是 发 CMP 应 答 请 求 ， 该 请 求 包 的 目标 地 址 设置 
为 受害 网 络 的 广播 地 址 ， 这 样 该 网 络 的 所 有 主机 都 对 此 ICMP 应 
答 请 求 作出 答复 ， 导 致 网 络 阻塞 。 高 级 的 Smurf 攻 击 ， 主 要 用 来 
攻击 目标 主机 。 方 法 是 将 来 述 ITCMP 应 答 请 求 包 的 源 地 址 改 为 受 
害 主机 的 地 址 ， 最 终 导 致 受害 主机 雪 衣 。 攻 击 报 文 的 发 送 需要 一 
定 的 流量 和 持续 时 间 se 才 能 真正 构成 攻击 。 理 论 上 讲 ， 网 络 的 主 
机 越 多 ， 攻 击 的 效果 越 明 显 。 
处 理 方法 : 

。 检 查 ICMP 应 答 请 求 包 的 目的 地 址 是 否 为 子 网 广播 地 址 或 子 网 的 
网 络 地 址 f 如 是 ， 则 直接 拒绝 ， 并 将 攻击 记录 到 日 志 。 





配置 : 
firewall defend smurf enable 
使 用 限制 : 
。 由 于 路 由 器 等 三 层 设备 本 身 就 不 会 转发 目的 地 址 是 广播 地 址 的 报 


文 ， 因 此 ?MURF 攻 击 在 网 络 上 很 难 形 成 攻击 。 在 防火 墙 上 ， 检 
查 3MURF 攻 击 必 须要 求 被 攻击 网 络 是 直接 连接 到 防火 墙 上 。 
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Fraggle 攻击 


og. UDP 请 求 ia or 19) g g a Ç 
ag ® 


ao 2 
gg E: 
Gyz 
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攻击 介绍 : 
。 类 似 于 Smurf， 使 用 UDP 应 答 消 息 而 非 ICMP。UDP 端 口 7 ( 
ECHO) 和 端口 19 (Chargen) 在 收 到 UDP 报 文 后， 都 会 产生 
回应 。 在 UDP 的 7 号 端 同 收 到 报 文 后 ， 会 回应 收 到 的 内 容 ， 而 
UDP 的 19 号 端口 在 收 到 报 文 后 ， 会 产生 一 串 字 符 流 。 它 们 都 同 
ICMP 一 样 ， 会 产生 大 量 无 用 的 应 答 报 文 ， 占 满 网 络 带 宽 。 攻击 
者 可 以 向 子 网 广播 地 址 发 送 源 地 址 为 受害 网 络 或 受害 主机 的 UDP 
包 ， 端 口号 用 7 或 19% 子 网 络 启用 了 此 功能 的 每 个 系统 都 会 向 受 
害 者 的 主机 作出 响应 ， 从 而 引发 大 量 的 包 ， 导 致 受害 网 络 的 阻塞 
或 受害 主机 的 骨 溃 ; 子 网 上 没有 启动 这 些 功 能 的 系统 将 产生 一 个 
ICMP 不 可 达 消 息 ， 因 而 仍然 消耗 带宽 。 也 可 将 源 端 口 改 为 
Chargen, 目的 端口 为 ECHO， 这 样 会 自动 不 停 地 产生 回应 报 文 
,/ 基 危害 性 更 大 。 

处 理 方法 : 

仿 查 进入 防火 墙 的 UDP 报 文 ， 若 目的 端口 号 为 7 或 19， 则 直接 拒绝 ， 并 

将 攻击 记录 到 日 志 ， 否 则 允许 通过 。 

AUS: 

firewall defend fraggle enable 
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IP Spoofing 攻击 


e B 信任 A 的 IP 地 址 ， 因 此 攻击 者 假冒 A 的 IP 地 址 
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攻击 介绍 : 
。 为 了 获得 访问 权 ， 入 侵 者 生成 一 个 带 有 伪造 源 地 址 的 报 文 。 对 于 
使 用 基于 IP 地 址 验证 的 应 用 来 说 9 此 攻击 方法 可 以 导致 未 被 授权 
的 用 户 可 以 访问 目的 系统 ， 甚 至 是 以 root 权 限 来 访问 。 即 使 响应 
报 文 不 能 达到 攻击 者 ， 同 样 也 会 造成 对 被 攻击 对 象 的 破坏 。 这 就 
造成 IP Spoofing Iie 

处 理 方法 : 
。 检 测 每 个 接 旺 流 入 的 IP 报 文 的 源 地 址 与 目的 地 址 ， 并 对 报 文 的 源 
地 址 反 查 路 由 表 以 该 报 文 的 源 地 址 作为 目的 地 址 查找 路 由 表 对 
应 的 出 接口 ,如果 该 出 接口 与 已 收 到 的 报 文 不 符 ， 则 视 为 IP 
Spoofing 攻 击 。 将 被 拒绝 ， 并 进行 日 志 记 录 。 

配置 : 
edfirewall defend ip-spoofing enable 

使 用 限制 : 
。 当 报 文 存 在 多 出 口 路 径 的 时 候 或 者 是 存在 默认 路 由 的 时 候 ，ip 
spoofing 攻 击 防范 效果 很 差 或 者 是 容易 出 现 问题 。 在 实际 使 用 
中 ip spoofing 攻 击 的 用 途 不 大 ， 没 有 必要 打开 。 
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Land 攻击 


P) 
Wi 
包 源 IP 和 目的 IP 


都 是 B 的 IP 地 址 
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攻击 介绍 : 
。 所 谓 Land 攻 击 ， 就 是 把 TCRSYN 包 的 源 地 址 和 目标 地 址 都 设置 
成 某 一 个 受害 者 的 IP 地 址 六 这 将 导致 受害 者 向 它 自己 的 地 址 发 送 
SYN-ACK 消 息 ， 结 果 这 个 地 址 又 发 回 ACK 消 息 并 创建 一 个 空 连 
接 ， 每 一 个 这 样 的 连接 都 将 保留 直到 超时 掉 。 各 种 受害 者 对 
Land 攻 击 反 应 不 同 F 许 多 UNIX 主 机 将 崩 演 ，NT 主 机 会 变 的 极 
其 缓慢 。 
处 理 方 法 : 
。 对 每 一 个 的 戈 报 文 进行 检测 ， 若 其 源 地 址 与 目的 地 址 相同 ， 或 者 
源 地 址 为 环 回 地 址 (127.0.0.1)， 则 直接 拒绝 ， 并 将 攻击 记录 到 | 日 
z= 
配置 : 
efirewall defend land enable 
使 用 限制 : 
。 没 有 限制 ， 对 性 能 也 基本 无 影响 ， 对 网 络 也 不 会 造成 不 良 影响 。 





第 110 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





Winnuke 攻击 


分 片 IGMP 包 或 者 目的 端口 为 139,URG 被 置 位 且 URS 指 鲜 不 为 空 
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攻击 介绍 : 
。WinNuke 攻 击 又 称 带 外 传输 攻击 写 它 的 特征 是 攻击 目标 端口 ， 
被 攻击 的 目标 端口 通常 是 了 B9、 汪 38、137、113、53，URG 位 
设 为 “1” 且 URG 指 针 不 为 室 ， 即 紧急 模式 。 还 有 一 种 是 IGMP 
分 片 报 文 ， 一 般 情况 下 ，IGMP 报 文 是 不 会 分 片 的 ， 所 以 ， 不 少 
系统 对 IGMP 分 片 报 交 的 处 理 有 问题 。 如 果 收 到 ICMP 分 片 报 文 
, AAA FE VENA. 

仿 测 方法 : 

WinNuke 攻 击 1 检测 数据 包 目 标 端 口 是 否 为 139、138、137 等 ， 并 判 

断 URG 位 是 否 为 “ITSS 且 URG 指 针 不 为 空 。 

WinNuke 攻 击 人 检测 进入 的 IGMP 报 文 是 否 为 分 片 报 文 ， 如 是 分 片 报 

文 ， 则 直接 丢弃 。 

配置 : 
e firewall defend winnuke enable 
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SYN Flood 攻击 
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攻击 介绍 : 
。 由 于 资源 的 限制 ，TCP/IP 栈 的 实现 只 能 允许 有 限 个 TCP 和 连接。 而 
SYN Flood 攻 击 正 是 利用 这 一 As 它 伪造 一 个 SYN 报 文 ， 其 源 地 
址 是 伪造 的 、 或 者 一 个 不 存在 的 地 址 ， 向 服务 器 发 起 连接 ， 服 务 
器 在 收 到 报 文 后 用 SYN-AGK 应 答 ， 而 此 应 答 发 出 去 后 ， 不 会 收 
到 ACK 报 文 ， 造 成 于 余 尘 连接 。 如 果 攻 击 者 发 送 大 量 这 样 的 报 文 
， 会 在 被 攻击 主机 上 出 现 大 量 的 半 连 接 ， 耗 尽 其 资源 ， 使 正常 的 
用 户 无 法 访问 。 直 到 半 连接 超时 。 在 一 些 创建 连接 不 受 限制 的 环 
HE, SYN Flooed 具 有 类 似 的 影响 ， 它 会 消耗 掉 系 统 的 内 存 等 资 
源 。 

处 理 方法 : 
。 对 TCP 连 接 数 进行 统计 ， 可 以 进行 基于 IP 地 址 或 区 域 的 统计 ， 当 
了 CP 的 每 秒 新 建 连接 速率 超过 指定 的 阐 值 或 超过 规定 的 总 数目 时 
;~ 认为 存在 SYN Flood 攻 击 ， 可 以 采用 TCP 代 理 技术 或 者 采用 新 
建 连接 的 限制 或 总 连接 数 的 限制 。 

备注 :、 对 于 这 种 需要 进行 统计 分 析 的 攻击 防范 ， 需 要 开启 防火 墙 的 统计 

功能 。 
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SYN Flood 攻击 ( 续 ) 


配置 


efirewall defend syn-flood interface { interface-type interface- 
number | all } [ alert-rate a/ert-rate-number1 | [ max-rate max- 
rate-number1] | tcp-proxy { auto | off | on } ] 

ə firewall defend syn-flood zone [ vpn-instance vpn-instance= 
name] zone-name | alert-rate a/ert-rate-number2] [ max-rate 


max-rate-number2] [ tcp-proxy { auto | on | off } ] 


efirewall defend syn-flood enable 
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interface-type interface-number : 接 回 类 型 和 接口 编号 。 

all: 所 有 的 接口 。 表 示 开 启 基于 所 有 接 自 的 SYN Flood 攻 击 防范 功能 
alert-rate-numberl : 告警 速率 。 谴 数 形式 ， 取 值 范围 为 1 一 
1000000， 单 位 为 pps。 缺 省 值 为 16000pps。 

max-rate-numberl : 最 太 速 率 。 整数 形式 ， 取 值 范 围 为 1 ~ 
1000000， 单 位 为 pps。 缺 省 值 为 500000pps， 最 大 速率 的 值 必须 大 于 
tcp-proxy : TCP 代 理 功能 。 缺 省 情况 下 ，TCP 代 理 为 自动 开启 状态 。 
当 tcp-proxy 的 参数 设置 为 auto 时 ，TCP 代 理 的 启动 状态 为 自动 开启 ， 
即 连接 数 超过 告警 速率 时 开启 ; 当 参 数 设 置 为 on 时 ， 所 有 连接 均 使 用 代 
理 连 接 ; 当 参 数 设置 为 of 时 ， 不 开启 TCP 代 理 功 能 。 
alert-rate-number2 : 告警 速率 。 整数 形式 ， 取 值 范围 为 1~65535 
， 单 位 为 cPs。 缺 省 值 为 1000cps。 

vpn-instance-name : VPN 实 例 的 名 称 。 必须 为 已 经 创建 的 VPN 实 例 
名 称 。 

max=rate-number2 : 最 大 速率 。 整数 形式 ， 取 值 范围 为 1 一 65535 ， 
单位 为 cps。 缺 省 值 为 ?0000cps。 最 大 速率 的 值 必须 大 于 告警 速率 。 
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zone-name : 安全 区 域 的 名 称 。 必须 为 已 经 存在 安全 


说 明 : 





区 域名 称 。 


当 设 备 开启 SYN Flood 攻 击 防范 TCP 代 理 功能 ， 而 网 络 中 设备 接口 存在 


较 小 MTU 时 ， 请 设置 TCP-MSS 值 ， 如果 MSS 设 置 过 大 ， 


TCP 连 接 上 传 


输 的 报 文 较 大 而 又 不 允许 分 片 时 ， 报 文 可 能 会 被 网 络 中 的 设备 丢弃 信 首 


分 tcp 业 务 将 受到 影响 
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TCP Proxy 技术 


没有 TCP Proxy Client send TCP Syn 





Server response Syn Ack 





Client send Ack 





使 能 TCP Proxy Client send TCP Syn 
Firewall response Syn Ack 
Pam 


Fake Client Without Ack Firewall send TCP Syn for 
Real Client send Ack sl Client 














>| 
如 果 是 Tcp 攻 击 的 话 源 地 址 |, Server response Syn Ack 

为 假冒 ， 则 不 会 存在 这 个 回 
应 报 文 ， 因 此 攻击 报 文 会 被 











Firewall send Ack for Client | 





192.168.0.1 Firewall 
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TCP 代 理 : 


。 防 止 SYN Flood 攻 击 的 一 个 有 效 的 炙 法 就 是 采用 防火 墙 的 TCP 代 
理 功 能 。 我 们 把 连接 发 起 端 称 为 客户 ， 对 端 称 为 服务 器 ， 它 们 
通过 防火 墙 的 中 继 进 行 通信 客户 发 起 连接 ， 防 火 墙 并 不 把 
SYN 包 传 递 给 服务 器 ， 而 是 自己 伪装 成 服务 器 返回 应 答 ; 客户 
确认 后 再 以 当初 客户 发 起 连接 时 的 信息 向 服务 器 发 起 连接 。 当 客 
户 和 服务 器 之 间 传 输 的 数据 通过 防火 墙 时 ， 防 火 墙 只 需 对 它们 的 
序号 进行 调整 就 可 以 Po 

。 通 过 TCP 代 理 功能 ， 防 火 墙 就 能 拦截 所 有 到 达 的 连接 请 求 ， 并 代 
表 服 务 器 建立 与 客户 机 的 连接 ， 代 表 客 户 机 建立 与 服务 器 的 连接 
。 如 果 两 个 连接 都 成 功 地 建立 ， 防 火 墙 就 会 将 两 个 连接 进行 中 继 
。 这 样 防火 墙 就 能 很 好 的 保护 服务 器 不 受 SYN-Flood 的 攻击 ， 同 
时 防火 墙 有 更 严格 的 超时 限制 ， 以 防止 其 自身 的 资源 被 YN Be 
击 耗 尽 。 

。 同 时 也 可 以 采用 针对 半 开 连接 的 数目 和 速率 等 来 监控 syn flood 
攻击 y 检测 特定 目的 地 址 SYN 报 文 的 接收 速率 和 TCP 半 开 连 接 数 
s 当 特定 目的 地 址 ?YN 报 文 的 连接 速率 或 TCP 半 连接 数 超过 设 定 
的 阔 值 时 ， 通 知 系统 目的 主机 受到 SYN Flood 攻 击 ， 并 根据 攻击 
防范 配置 决定 是 否 启动 TCP 代 理 功能 ; 
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。 当 SYN 报 文 连接 速率 和 TCP 半 连接 数 均 低 于 阐 值 的 80% 时 ， 通 知 
系统 SYN Flood 攻 击 结束 ， 并 根据 攻击 防范 配置 决定 是 否 关闭 代 
理 功 能 。 当 攻击 发 生 时 ， 对 攻击 记录 日 志 。 


xX 
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TCP 反 向 源 探测 技术 
用 于 来 回路 径 不 一 致 的 情况 下 SYN-Flood 攻 击 防范 。 


问 google， 发 送 SYN 
看 看 你 是 不 是 真 想 访问 google, 发 送 探 测报 


我 真 的 想 访问 ，pass 
Eudemon 


攻击 者 。 使 用 虚假 源 地 址 进行 攻击 
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第 一 步 : 通过 响应 报 文 的 校 验 确认 源 是 否 合 法 ， 可 以 防止 非法 虚假 源 
攻击 ; 

第 二 步 : 源 若 合 法 ， 通 过 TTL 跳 数 确 认 是 否 是 假冒 其 他 合法 地 址 发 起 的 
攻击 。 

TCP 反 向 源 探测 会 在 client 端 发 送 SYN 报 文 后 ， 由 防火 墙 首先 回应 一 个 
ack_sedquence 序 号 错误 的 SYN2ACK 报 文 ， 此 报 文 的 ack_sequence， 
为 HASsH 值 ， 其 中 包含 此 报关 的 TIL， 与 SYN 报 文 的 sequence+1 不 一 致 
， 如 果 client 端 真实 存在 惧 到 此 SYN-ACK 就 会 发 送 RST 报 文 ， 防 火 墙 收 
到 此 RST 报 文 ， 判 断 sSegquence 与 上 述 syn-ack 的 ack_sequence 是 否 一 
致 ， 如 果 一 致 ， 从 此 序号 恢复 TTL， 与 报 文 的 TTL 比 较 ， 如 果 相 等 或 者 相 
差 很 小 范围 , y 则 认为 SYN 及 RST 报 文 都 是 从 同一 地 址 发 出 ， 此 源 IP 加 为 
认证 通过 状态 % 后 续 再 有 SYN 报 文 到 达 ， 命 中 源 IP 监 控 表 ， 发 现 认证 通 
过 ， 则 转发 此 SYN 报 文 。 
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UDP/ICMP Flood 攻击 


攻击 者 
UDP 或 ICMP 包 下 
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攻击 介绍 : 
。 短 时 间 内 向 特定 目标 发 送 大 量 的 UDP/ICMP 报 文 ， 致 使 目标 系统 
负担 过 重 而 不 能 处 理 合法 的 连接 %s 一 般 这 种 攻击 以 分 布 式 居多 ， 
流量 大 。 

处 理 方法 : 
。 检 测 通 向 特定 目的 地 址 的 UDP 报 文 的 速率 ， 当 速度 超过 设 定 的 阐 
值 上 限时 ， 设 定 攻击 标志 并 做 Car 处 理 ， 对 攻击 记录 日 志 。 当 速 
率 低 于 设 定 的 冰 值 下 限 ， 取 消 攻 击 标志 ， 人 允许 所 有 报 文通 向 特定 
目的 地 址 。 

使 用 限制 : 
。 无 使 用 限制 、 注意 配置 正确 的 目的 保护 地 址 。ICMP/UDP 是 无 连 
接 的 协议 因此 不 能 提供 类 似 SYN FLOOD 代 理 方式 的 防御 方法 


o 
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UDP/ICMP Flood 攻 击 〈 续 ) 


配置 


efirewall defend udp-flood interface { interface-type interface-number| all } 
[ max-rate max-rate-number1] X 


efirewall defend udp-flood zone [ vpn-instance vpn-instance-name] zone-name 
[ alert-rate a/ert-rate-number] [ max-rate max-rate-number2] 


efirewall defend icmp-flood interface { interface-type interface-number| all } 
[ max-rate max-rate-number1] 


efirewall defend icmp-flood zone [ vpn-instance von-/nstance-name] zone- 
name [| max-rate max-rate-number2] 


efirewall defend udp/icmp-flood enable 
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interface-type interface-number : 接 辐 业 型 和 接口 编号 。 

all :所 有 的 接口 。 

max-rate-numberl :最 大 速率 。 品 数 形式 ， 取 值 范 围 为 1 一 500000， 
单位 为 pps。 缺 省 为 200000pps。 

vpn-instance-name :VPN 实 例 的 名 称 。 必须 为 已 经 创建 的 VPN 实 例 名 
称 。 

max-rate-number2 :最 类 速率 。 整数 形式 ， 取 值 范 围 为 1 一 65535 ， 
单位 为 cps。 缺 省 为 2000cps。 

zone-name 安全 区 域 的 名 称 。 必须 为 已 经 存在 的 安全 区 域名 称 。 











说 明 : 
配置 的 JDR/ACMP-flood 攻 击 防范 参数 在 开启 攻击 防范 功能 之 后 才 生 效 


o 
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其 它 Flood 攻 击 手 段 


DNS Flood 
Get Flood 


Tcp-illeage-session 
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DNS flood 用 来 对 DNS 服务 器 发 起 flood 请 求 

Get flood 用 来 对 WEB 服务 器 发 起 Get 操作 请 求 
TCP-ileage-session 用 来 对 服务 器 发 起 TCP 空 连接 请 求 ， 耗 尽 服务 器 的 
连接 资源 。 
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OEE. 


1. UsG 攻 击 防 范 特 性 与 配置 
1.1 拒绝 服务 攻击 
1.2 畸形 报 文 攻击 
1.3 ARAE 
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TCP Flag 攻击 
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攻击 介绍 : 
TCP 报 文 包含 6 个 标志 位 : URG、ACK、PSH、RST、SYN、FIN ， 不 同 
的 系统 对 这 些 标志 位 组 合 的 应 答 是 不 同 的 : 
。6 个 标志 全 部 为 1， 也 就 是 圣诞 树 攻击 ; 
。6 个 标志 全 部 为 0， 如 果 端 向 是 关闭 的 ， 会 使 接收 方 应 答 一 个 RST 
| ACK 消 息 。 而 对 玉生 全 开放 端口 ，Linux 和 UNIX 机 器 不 会 应 答 
， 而 Windows 机 器 将 回答 RST | ACK 消 息 。 这 可 用 于 操作 系统 探 
测 。 
。 不 管 端口 是 打开 还 是 关闭 ，ACK 与 除 RST 外 的 其 它 任何 一 个 状态 
位 组 合 在 一 起 > 都 会 引起 一 个 还 没有 发 送 请 求 的 接收 方 的 一 个 
RST 应 答 六 这 可 用 于 探测 主机 的 存在 。 
。 不 管 端 吕 是 打开 还 是 关闭 ，SYN | FIN | URG 会 让 接收 方 发 送 一 
A RST | ACK 应 答 ， 这 可 用 于 探测 主机 的 存在 。 
。 如果 端 口 是 关 闭 的 ，SYN、SYN | FIN, SYN | PUSH, SYN | 
FIN | PUSH, SYN|URG, SYN | URG | PUSH, SYN | FIN | 
URG | PUSH 会 使 接收 方 应 答 一 个 RST | ACK 消 息 ; 如 果 端 口 是 
打开 的 ， 会 使 接收 方 应 答 一 个 SYN | ACK 消 息 ， 这 可 用 于 主机 
探测 和 端口 探测 。 
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。 如 果 端 口 是 关 闭 的 ，FIN 、URG、PUSH、URG|FIN ~ 
URG|PUSH 、FIN|PUSH 、URG|FIN|PUSH 会 使 接收 方 应 答 一 
个 RST | ACK 消 息 。 而 对 于 一 个 开放 端口 ，Linux 和 UNIX 机 器 不 
会 应 答 ， 而 Windows 机 器 将 回答 RST | ACK 消 息 。 这 可 用 于 操作 
系统 探测 。 
处 理 方法 : X 
。 检 查 TCP 报 文 的 各 个 标志 位 ， 若 出 现 
。 6 个 标志 位 全 为 1; 
。 6 个 标志 位 全 为 0; 
。SYN 和 FIN 位 同时 为 1; 
。 直 接 丢 弃 满 足以 上 任 一 条 件 的 报 文 ， 并 记录 日 志 。 
配置 : 
e firewall defend tcp-flag enable 
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IP 分 片 攻击 


分 片 包 


包 总 长 超过 65535 








Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 


攻击 介绍 : 
IP 报 文中 有 几 个 字段 与 分 片 有 关 : DF 位 SSMF 位 ，Fragment Offset 、 
Length 。 
。 如 果 上 述 字 段 的 值 出 现 巴 慎 和 而 设备 处 理 不 当 ， 会 对 设备 造成 
一 定 的 影响 ， 甚 至 瘫痪 。 
。 了 矛盾 的 情况 有 : 
。DF 位 被 置 位 ， 而 MF 位 同时 被 置 位 或 Fragment Offset 不 为 0; 
。DF 位 为 0， 而 Fragnmient Offset + Length > 65535。 
处 理 方法 : 
。 若 分 片 报 文 的 目的 地 址 为 本 防火 墙 ， 则 直接 丢弃 ; 
。 检 查 IP 报 文中 与 分 片 有 关 的 字段 (DF 位 、MF 位 、 片 偏 置 量 、 总 
KE) 是 以 不 问题 : 
a ”DF 位 为 1]， 且 MF 位 也 为 1。 
a /DF{zA1, HOffset > 0. 
a ”DF 位 为 0， 且 分 片 Offset + Length > 65535. 





配置 : 
e firewall defend ip-fragment enable 
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Tear Drop 攻击 


IP PING DATA 

Flag MF IP DATA 

Ofset0 [20 | remainder | 
Flag Last Fragment 
Offset 500 


IP PING DATA 
NORMAL [ 20 | 
Flag MF IP DATA 
Offset 0 | 20 | remainder _® 
Flag Last Fragment 
Offset 1480 š 


si 
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攻击 介绍 : 
。Teardrop 攻 击 是 指 攻击 者 截取 IP 数 据 包 后 ， 把 偏 移 字段 设置 成 
不 正确 的 值 ， 接 收 端 在 收 到 这 些 分 拆 的 数据 包 后 ， 就 不 能 按 数 据 
包 中 的 偏 移 字 段 值 正 确 组 合 出 被 拆 分 的 数据 包 ， 这 样 ， 接 收 端 会 
不 停 的 尝试， 以 至 操作 系统 因 资 源 耗 尽 而 月 省 。 


处 理 方法 : 
RED Hie 每 一 个 源 地 址 、 目 的 地 址 、 分 片 ID 相同 的 为 一 组 
， 最 大 支持 缓存 10000 组 分 片 信息 。 在 分 片 缓存 的 组 数 达到 最 大 
时 ， 如 果 后 续 分 片 报 文 要 求 建 立新 组 ， 则 直接 丢弃 。 
配置 : 
e firewall defend teardrop enable 
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Ping of Death 攻击 


片 包 
本 四 


ICMP Ping 分 


LJ 


包 总 长 超过 65535 
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攻击 介绍 : 

。IP 报 文 的 长 度 字 段 为 16 位 ,% 这 表明 一 个 IP 报 文 的 最 大 长 度 为 
65535。 对 于 ICMP ECHO\Request 报 文 ， 如 果 数 据 长 度 大 于 
65508， 就 会 使 CMP 数据 + 下 头 长 度 (20) +ICMP 头 长 度 (8) 
> 65535。 对 于 有 些 路 由 器 或 系统 ， 在 接收 到 一 个 这 样 的 报 文 后 
， 由 于 处 理 不 当 ， 会 造成 系统 崩溃 、 死 机 或 重启 。 所 谓 Ping of 
Death ， 就 是 利用 一 些 尺 寸 超 大 的 ICMP 报 文 对 系统 进行 的 一 种 
攻击 。 

处 理 方法 : 

。 检 测 ICMP 回 送 请 求 报 文 的 长 度 是 否 超 过 65535 字 节 ， 若 超过 ， 

则 丢弃 报 文 ， 并 记录 日 志 。 
配置 : 
efirewall defend ping-of-death enable 
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OEE. 


1. UsG 攻 击 防 范 特 性 与 配置 
1.1 拒绝 服务 攻击 
1.2 畸形 报 文 攻击 
1.3 FRAG 
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IP Sweep 攻击 


目的 IJP ”目的 IP 目的 IP 
C B A 
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攻击 介绍 : 
。 运 用 ping 这 样 的 程序 探测 目标 地 址 才 对 此 作出 响应 的 表示 其 存 
在 ， 用 来 确定 哪些 目标 系统 确实 存活 着 并 且 连 接 在 目标 网 络 上 。 
也 有 可 能 使 用 TCP/UDP 报 交 对 某 些 地 址 发 起 连接 (如 TCP ping 
) ,判断 是 否 有 应 答 报 文 % 

处 理 方法 : 
。 检 测 进入 防火 墙 的 MP、TCP 和 UDP 报 文 ， 由 该 报 文 的 源 IP 地 
址 获取 统计 表 项 的 索引 ， 如 目的 IP 地 址 与 前 一 报 文 的 IP 地 址 不 同 
， 则 将 表 项 申 的 总 报 文 个 数 增 1。 如 果 在 一 定时 间 内 报 文 的 个 数 
达到 设置 的 阐 值 ， 直 接 丢 弃 报 文 ， 记 录 日 志 ， 并 根据 配置 决定 是 
否 将 源 IP 地 址 自动 加 入 黑 名 单 。 被 加 入 黑 名 单 的 PP， 其 报 文 将 不 
能 通过 防火 墙 。 当 然 ， 如 果 某 些 IP 被 发 现 有 恶意 攻击 或 占用 过 量 
带宽 , 也 可 以 手工 把 该 中 加 入 黑 名 单 。 





使 用 限制 : 
。 扫 摘 类 攻击 的 源 地 址 是 真实 的 ， 因 此 可 以 采用 直接 加 入 黑 名 单 的 
方法 进行 防御 。 


。 扫 描 类 攻击 的 扫描 速度 决定 了 攻击 防范 的 有 效 性 。 
。 里 虫 病毒 爆发 的 时 候 ， 一 般 就 是 地 址 扫描 攻击 。 
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IP Sweep 攻击 〈 续 ) 


配置 : 


e firewall defend ip-sweep { max-rate rate-number | 
blacklist-timeout /nterva/} x 


e Firewall blacklist enable 
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max-rate rate-number: 设 定 从 同一 源 地 址 向 外 发 送 报 文 的 目的 地 址 

变化 速率 的 阅 值 。 

rate-number 取 值 范围 是 1 ~ 10)000% 单 位 是 次 / 秒 。 默 认 值 为 4000 

次 / 秒 。 

blacklist-timeout interval: 将 攻击 源 IP 加 入 黑 名 单 并 设 定 其 在 黑 名 单 
内 的 保持 时 间 ， 

interval 取 值 范围 是 1 a$$1000， 单 位 分 钟 ， 默 认 值 为 20。 

注意 : 如 果 要 启用 黑 名 单 隔离 功能 ， 需 要 先 启 动 黑 名 单 。 











HC Series HUAWEI TECHNOLOGIES 第 129 页 





HCDP-IENP 第 一 章 华为 安全 产品 与 技术 





Port Scan 攻击 


目的 Port N 目的 Port ”目的 Port ”目的 Port 
ii E B A 
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攻击 介绍 : 
Port Scan 攻 击 通 常 使 用 一 些 软 件 字 向 大 范围 的 主机 的 一 系列 
TCP/UDP 端 口 发 起 连接 , 银 据 应 答 报 文 判断 主机 是 否 使 用 这 些 
端口 提供 服务 。 

处 理 方法 : 
。 检 测 进入 防火 墙 的 ICP 报 文 或 UDP 报 文 ， 由 该 报 文 的 源 IP 地 址 获 
取 统 计 表 项 的 索引 ， 刀 目的 端口 与 前 一 报 文 不 同 ， 将 表 项 中 的 报 
文 个 数 增 1。 DORR TREN BME, BRAFIX, 
记录 日 志 % 并 根据 配置 决定 是 否 将 源 IP 地 址 加 入 黑 名 单 。 





使 用 限制 : 
。 扫 摘 类 攻击 的 源 地 址 是 真实 的 ， 因 此 可 以 采用 直接 加 入 黑 名 单 的 
方法 进行 防御 。 


“9 描 类 攻击 的 扫描 速度 决定 了 攻击 防范 的 有 效 性 。 
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Port Scan 攻击 〈 续 ) 


配置 


e firewall defend port-scan [ max-rate rate-number ] 
[ blacklist-timeout /nterva/] 


e Firewall blacklist enable 
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max-rate rate-number: 设 定 从 同一 源 地 址 向 外 发 送 报 文 的 目的 端口 
变化 速率 的 阔 值 。 

rate-number 取 值 范围 是 1 ~ 10)000% 单 位 是 次 / 秒 。 默 认 值 为 4000 
次 / 秒 。 

blacklist-timeout interval: 将 攻击 源 IP 加 入 黑 名 单 并 设 定 其 在 黑 名 单 
内 的 保持 时 间 。 

interval 取 值 范围 是 1 401000， 单 位 是 分 钟 。 默 认 值 为 20 分 钟 。 

注意 : 如 果 要 启用 黑 名 单 隔离 功能 ， 需 要 先 启 动 黑 名 单 。 
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防火 墙 防范 的 其 他 报 文 


ICMP Redirect 
ICMP Unreachable 
Large ICMP 

Route Record 


Tracert 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 


ICMP 重 定向 报 文 

攻击 介绍 : 

网 络 设备 向 同一 个 子 网 的 主机 发 送 ICMP 重 定向 报 文 ， 请 求 主机 改变 路 
由 。 一 般 情 况 下 ， 设 备 仅 向 主机 而 不 向 其 它 设备 发 送 ICMP 重 定向 报 文 
。 但 一 些 恶 意 的 攻击 可 能 跨越 网 段 向 另外 一 个 网 络 的 主机 发 送 虚 假 的 重 
定向 报 文 ， 以 期 改变 主机 的 路 由 表 ， 干 扰 主 机 正常 的 IP 报 文 转发 。 

处 理 方 法 : 

根据 本 控制 功能 的 使 能 状态 对 ICMP 重 定向 报 文 (类 型 为 5) 进行 转发 或 
丢弃 。 在 禁止 转发 时 ,如 发 现 此 类 报 文 到 达 ， 则 记录 日 志 。 除 记录 日 志 
模块 规定 的 内 容 外 ， 还 记录 重 定向 到 何 处 。 


ICMP 不 可 达 报 文 

攻击 介绍 : 

不 同 的 系统 对 ICMP 不 可 达 报 文 (类 型 为 3) 的 处 理 不 同 ， 有 的 系统 在 收 
到 网 络 (代码 为 0) 或 主机 (代码 为 1) 不 可 达 的 ICMP 报 文 后 ， 对 于 后 
续 发 往 此 目的 地 的 报 文 直接 认为 不 可 达 ， 好 像 切 断 了 目的 地 与 主机 的 连 
接 人 造成 攻击 。 
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处 理 方 法 : 

根据 本 控制 功能 的 使 能 状态 对 类 型 号 为 3 的 ICMP 不 可 达 报 文 进行 转发 或 
丢弃 。 在 禁止 转发 时 ， 如 发 现 此 类 报 文 到 达 ， 则 记录 日 志 。 
超大 的 ICMP 报 文 

攻击 介绍 : Q 
一 般 来 说 ， 网 络 中 传输 的 ICMP 报 文 都 不 大 ， 而 且 对 于 不 同 的 系统 ， 能 
够 发 送 和 接收 的 最 大 ICMP 报 文 的 大 小 也 是 不 一 样 的 ， 因 此 出 现 超 天 的 
ICMP 报 文 ， 应 为 异常 现象 。 

处 理 方 法 : 

付 测 ICMP 报 文 长 度 是 否 超过 设 定 的 最 大 值 ， 如 果 超 过 ， 则 直接 丢弃 ， 
并 记录 日 志 。 

IP 路 由 记录 选项 

攻击 介绍 : 

同 IP 源 站 选 路 功能 类 似 ， 在 IP 路 由 技术 中 ， 还 提供 了 路 由 记录 选项 。 它 
的 含义 记录 IP 报 文 从 源 到 目的 过 程 中 所 经 过 的 路 径 ， 也 就 是 一 个 处 理 过 
此 报 文 的 路 由 器 的 列表 。IP 路 由 记录 选项 通常 用 于 网 络 路 径 的 故障 诊断 
， 但 也 会 被 恶意 攻击 者 利用 ， 刺 探 网 络 结构 8 

处 理 方法 : 

令 测 进入 路 由 器 的 报 文 是 否 设 置 IP 路 由 记录 选项 ， 如 是 ， 则 丢弃 报 文 ， 
并 记录 日 志 。 

Tracert 报 文 

攻击 介绍 : 

Tracert 是 利用 TTL 为 0 时 返回 的 ICMP 超 时 报 文 ， 和 达到 目的 地 时 返回 的 
ICMP 端 口 不 可 达 报 交 来 发 现 报 文 到 达 目 的 地 所 经 过 的 路 径 ， 它 可 以 细 
探 网 络 的 结构 。 

处 理 方 法 : 

检查 ICMP 报 文 是 否 为 超时 〈 类 型 为 11) 或 为 目的 端口 不 可 达 报 文 (类 
型 号 为 3， 代 码 号 为 3) ， 如 果 是 ， 则 根据 本 控制 功能 的 使 能 状态 选择 对 
报 文 进行 转发 或 丢弃 。 在 禁止 转发 时 ， 如 发 现 此 类 报 文 到 达 ， 则 记录 日 


wb 
Tne 
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Om m 


如 何 手 工 绑 定 PC 的 网 关 MAC 地 址 ， 防 止 ARP 欺 骗 劫 持 流量 ? 


xX 
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zee 

案 : 
。 如 果 是 在 windows 的 PC 主机 上 ， 通 过 命令 : arp -s X.X.X.X 
XX-XX-XX-XX-XX-XX， 静 态 绑 定 网 关 的 IP 地 址 和 MAC 地 址 ， 
但 须 注意 ，PC 一 旦 重 户 的 话 拒 刚 绑 定 配置 会 丢失 ， 需 要 重新 绑 
定 。 


X 
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USGA Aik 
双 机 热 备 业务 特性 与 配置 
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HS 
在 当前 的 组 网 应 用 中 ， 用 户 对 网 络 可 靠 性 的 要 求 越 来 越 高 ， 
特别 是 在 一 些 重要 的 业务 入 口 或 接 入 点 上 需要 保证 网 络 不 间 
断 运行 。 对 于 这 些 重要 的 业务 点 如 何 保证 网 络 的 不 间断 传输 ， 
成 为 必须 解决 的 一 个 问题 。 
本 胶片 主要 介绍 防火 墙 的 双 机 热 备 份 技术 原理 和 具体 配置 ， 
以 及 在 USG 防 火 墙 上 实施 双 机 热 备 份 技术 所 使 用 的 夸 种 | 办 : 
VRRP、VGMP 和 HRP。 
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音 训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 掌握 双 机 热 备份 技术 原理 
。 掌 握 VRRP，VGMP 和 HRP 之 间 的 关系 
。 掌握 典型 双 机 组 网 的 配置 
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© F 


双 机 热 备份 技术 原理 
USG 防 火 墙 双 机 热 备份 技术 
双 机 热 备份 技术 在 防火 墙 上 的 实施 
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双 机 热 备份 技术 产生 的 原因 


10.100.10.1/24 


内 部 网 络 
10.100.10.0/24 


传统 的 组 网 方式 如 图 所 示 ， 内 部 用 户 和 外 部 用 户 的 交 豆 报 文 
全 部 通过 Firewall A。 如 果 Firewall A 出 现 故障 ， 肉 部 网 络 中 
所 有 以 Firewall A 作为 默认 网 关 的 主机 与 外 部 网 络 之 间 的 通讯 
将 中 断 ， 通 讯 可 靠 性 无 法 保证 。 
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双 机 热 备份 技术 的 出 现 改变 了 可 靠 性 难以 保证 的 尴 众 状态 ， 通 过 在 网 络 
出 口 位 置 部 署 两 全 或 多 人 台 网 关 设备 ， 保 证 池内 部 网 络 与 外 部 网 络 之 间 的 
通讯 畅通 。 

USG 防 火 墙 作为 安全 设备 ， 一 般 会 部 署 在 需要 保护 的 网 络 和 不 受 保护 的 
网 络 之 间 ， 即 位 于 业务 接口 点 上 。* 在 这 种 业务 点 上 ， 如 果 仅仅 使 用 一 合 
USG 防 火 墙 设备 ， 无 论 其 可 靠 性 多 高 ， 系 统 都 可 能 会 承受 因为 单 点 故障 
而 导致 网 络 中 断 的 风险 。p 为 锯 防 止 一 人 台 设 备 出 现 意 外 故障 而 导致 网 络 业 
务 中 断 ， 可 以 采用 两 舍 防 火 晴 形成 双 机 备份 。 
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传统 双 机 热 备 份 技术 在 路 由 器 上 的 部 嗜 


10.100.10.2 Master 
ey RouterA 


备份 组 
Virtual IP Address 
10.100.10.1 


t 
10.100.10.4 
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为 了 避免 路 由 器 传统 组 网 所 引起 的 单 点 故障 的 发 生 ， 通 常情 况 可 以 采用 
多 条 链 路 的 保护 机 制 ， 依 靠 动态 路 由 协议 进行 链 路 切换 。 但 这 种 由 路 由 
协议 来 进行 切换 保护 的 方式 存在 志 定 的 局 限 性 ， 当 不 能 使 用 动态 路 由 协 
议 时 ， 仍 然 会 导致 链 路 中 断 的 问题 上 因此 推出 了 另 一 种 保护 机 制 VRRP 
(虚拟 路 由 元 余 协 议 ) 。 采 用 VRRP 的 链 路 保护 机 制 比 依赖 动态 路 由 协 
议 的 广播 报 文 来 进行 链 路 切换 的 时 间 更 短 ， 同 时 弥补 了 不 能 使 用 动态 路 
由 情况 下 的 链 路 保护 。 

VRRP (Virtual Router Redundancy Protocol) 是 一 种 基本 的 容错 协议 ， 
它 将 同一 个 广播 域 的 一 组 路 由 器 组 织 成 一 个 虚拟 路 由 器 ， 称 之 为 一 个 备 
份 组 。 其 中 仅 有 一 合 设备 处 于 活动 状态 ( 称 为 主 设备 (Master) ) ,其 
余 设备 都 处 于 备份 状态 ( 称 为 备份 设备 (Backup) ) 。 每 个 备份 组 〈 即 
虚拟 路 由 器 ) 拥有 一 个 虚拟 IP 地 址 。 只 有 处 于 活动 状态 的 路 由 器 能 转发 
以 虚拟 IP 地 址 作为 下 一 跳 的 报 文 。 


内 部 网 络 申 的 所 有 主机 仅仅 知道 该 虚拟 IP 地 址 ， 而 并 不 知道 具体 的 主 用 
(Master) 或 备用 (Backup) 设备 的 IP 地 址 ， 因 此 各 主机 都 将 缺 省 路 由 
配置 为 去 往 该 虚拟 IP 地 址 。 于 是 ， 内 部 网 络 中 的 各 主机 就 通过 该 备份 组 
与 外 部 网 络 进 行 通信 。 
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Master 路 由 器 VRRP 协 议 模 块 监视 通信 接口 状态 ， 并 通过 组 播 方式 向 
Backup 路 由 器 发 送 通告 报 文 。 如 果 Master 路 由 器 接口 故障 或 链 路 出 现 
问题 ， 则 会 导致 无 法 正常 发 送 VRRP 通 告 报 文 。 当 Backup 路 由 器 在 指定 
时 间 内 收 不 到 VRRP 通 告 报 文 时 ，VRRP 协 议 就 把 Backup 设 备 的 VRRP 
状态 变 成 主 用 ， 并 且 将 转发 以 虚拟 路 由 器 iP 地址 作为 下 一 跳 的 报 文 ， 从 
而 将 相关 通信 切换 到 该 设备 原先 的 备份 设备 ) 上 。 因 此 ， 采 用 VRR 
技术 实现 了 内 部 网 络 中 的 主机 不 间断 地 与 外 部 网 络 进行 通信 ， 可 靠 性 得 
到 保证 。 
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VRRP 在 多 区 域 防火 墙 组 网 中 的 应 用 


备份 组 1 
Virtual IP Address USGA 
vs, 10.100.10.1 Master 


Virtual IP Address 
USG B 202.38.10.1 
备份 组 2 Backup 
40.100.20.0/24 Virtual IP Address 
10.100.20.1 





~*~’ 
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由 于 USG 防 火 墙 是 状态 防火 墙 ， 它 要 求 报 文 的 来 回路 径 通 过 同一 合 防火 
墙 。 为 了 满足 这 个 限制 条 件 ， 就 要 求 在 同一 台 防 火 墙 上 的 所 有 VRRP 备 
份 组 状态 保持 一 致 ， 即 要 保证 在 某 一 合 防火 墙 上 所 有 VRRP 备 份 组 都 是 
主 状态 ， 这 样 所 有 报 文 都 将 从 此 防 炎 墙 上 通过 ， 而 另外 一 台 防 火 墙 则 充 
当 备份 设备 。 

当 防 火 墙 上 多 个 区 域 需要 提供 双 机 备份 功能 时 ， 需 要 在 一 全 防火墙 上 配 
置 多 个 VRRP 备 份 组 。 
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VRRP 在 防火 墙 应 用 中 存在 的 缺陷 


USGA 
Master 


Untrust 


Backup 
USGB 实际 连 线 
区 > 报 文 流 径 
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如 图 所 示 ， 假 设 USG A 和 USG B 的 VRRP 状 态 一 致 ， 即 USG A 的 所 有 接 
口 均 为 主 用 状态 ，USG B 的 所 有 接口 均 为 备用 状态 。 


。 此 时 ，Trust 区 域 的 PC1 访 问 Untrust 区 域 的 PC2， 报 文 的 转发 路 
线 为 (1)-(2)-(3)-(4)。USG A 转发 访问 报 文 时 ， 动 态 生 成 会 话 表 项 。 
当 PC2 的 返回 报 文 经 过 (4)-(3) 到 达 USG A 时 ， 由 于 能 够 命中 会 话 
表 项 ， 才 能 再 经 过 (2Jd) 到 达 PC1， 顺 利 返回 。 同 理 ，PC2 和 
DMZ tA Server gt Bit. 

。 假设 USG A 和 SG B 的 VRRP 状 态 不 一 致 ， 例 如 ， 当 USG B5 
Trust 区 域 相 连 的 接口 为 备用 状态 ， 但 与 Untrust 区 域 的 接口 为 主 
用 状态 ， 则 PG1 的 报 文通 过 USG A 设备 到 达 PC2 后 ， 在 USG A 上 
动态 生成 会 话 表 项 。PC2 的 返回 报 文通 过 路 线 (4)-(9) 返 回 。 此 时 
由 于 USG.B 上 没有 相应 数据 流 的 会 话 表 项 ， 在 没有 其 他 报 文 过 滤 
规则 人 允许 通过 的 情况 下 ，USG B 将 丢弃 该 报 文 ， 导 臻 会话 中 断 。 

防火 墙 备份 技术 产生 的 原因 : 

。 报 文 的 转发 机 制 不 同 : 


。 对 于 路 由 器 来 说 ， 业 务 中 的 每 个 数据 包 都 会 逐 包 转发 ， 即 每 个 报 
文 都 会 查 路 由 表 ， 当 匹配 上 后 才 进 行 转发 。 
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。 当 链 路 切换 后 ， 后 续 报 文 不 会 受到 影响 ， 继 续 进 行 转发 。 而 由 于 
USG 是 状态 防火 墙 ， 只 会 对 业务 中 首 包 进行 检查 ， 如 果 首 包 人 允 
许 通过 会 建立 一 条 五 元 组 的 会 话 连接 ， 只 有 命中 该 会 话 表 项 的 后 
续 报 文 (包括 返回 报 文 ) 才能 够 通过 USG 防 火 墙 ， 如 果 链 路 切 
换 后 ， 后 续 报 文 找 不 到 正确 的 表 项 ， 会 导致 业务 中 断 。 其 实 路 由 
器 在 配置 NAT 后 也 会 存在 同样 的 问题 ， 因 为 在 进行 NAT 后 会 形 镀 人 
一 个 NAT 转 换 后 的 表 项 。 


。 VRRP 在 防火 墙 应 用 的 缺陷 : 


» USG 连 接 多 个 安全 区 域 ， 和 每 个 安全 区 域 相关 的 接口 均 
形成 一 个 备份 组 ， 按 照 传统 的 VRRP 机 制 ，VRRP 均 为 相 
对 独立 ， 且 单独 工作 的 。 由 此 ， 无 法 保 诬 同一 防火 墙 上 
各 接口 的 VRRP 状 态 都 为 主 用 或 都 为 备用 了 即 传 统 VRRP 
方式 将 无 法 实现 USG VRRP 状 态 的 一 致 性 。 即 使 VRRP 
状态 一 致 ， 如 果 发 生 状态 切换 ， 主 用 防火 墙 上 生成 的 会 
话 表 不 会 备份 到 备用 防火 墙 上 ， 同样 会 导致 业务 中 断 。 


" 所 谓 双 机 热 备 其 实 是 双 机 状态 备份 ， 当 两 合 防火墙， 在 
确定 主 从 防火 墙 后 ， 由 主 防火 墙 进行 业务 的 转发 ， 而 从 
防火 墙 处 于 监控 状态 ， 同 时 证 防 火 墙 会 定时 向 从 防火 墙 
发 送 状态 信息 和 需要 备份 的 信息 ， 当 主 防火 墙 出 现 故 障 
后 ， 从 防火 墙 会 及 时 接替 主 防 火 墙 上 的 业务 运行 。 
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OEE: 


双 机 热 备 份 技术 原理 
USG 防 火 墙 双 机 热 备 份 技术 
双 机 热 备 份 技术 在 防火 墙 上 的 实施 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 





第 146 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





防火 墙 双 机 热 备份 搁 术 分 析 


防火 墙 双击 热 备 份 技术 的 特征 

。 控制 主 、 备 用 防火 墙 的 切换 

。 状态 信息 的 备份 

USG 防 火 墙 的 双 机 热 备 份 技 术 依靠 三 种 协议 实现 : 
。VRRP (虚拟 路 由 元 余 协议 ) 

。VGMP (VRRP 组 管理 协议 ) 

。 HRP (华为 元 余 协议 ) 
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防火 墙 双 机 热 备份 技术 需要 完成 两 项 工作 : 
。 控制 主 、 备 用 防火 墙 的 切换 
。 状态 信息 的 备份 
以 上 两 项 工作 需要 由 VGMP 和 HRR 配 合 完成 ， 而 基本 的 热 备份 功能 则 由 
VRRP 实 现 。 
VGMP: VRRP Group.Management Protocol 
HRP: Huawei Redundancy Protocol 
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防火 墙 主 备 状态 切换 的 实现 


VGMP (VRRP Group Management Protocol) 提出 VRRP 管 
理 组 的 概念 ， 将 同一 台 防 火 墙 上 的 多 个 VRRP 备 份 组 都 加 入 
到 一 个 VRRP 管 理 组 ， 由 管理 组 统一 管理 所 有 VRRP 备 份 组 。 
通过 统一 控制 各 VRRP 备 份 组 状态 的 切换 ， 来 保证 管理 组 内 
的 所 有 VRRP 备 份 组 状态 都 是 一 致 的 。 
VGMP 的 作用 : 防火 墙 主 备 状态 控制 切换 
VRRP 管 理 组 的 功能 : 

。 状态 一 致 性 管理 (管理 组 内 VRRP 备 份 组 同步 状态 切换 ) 

。 抢占 管理 ( 屏 菩 VRRP 备 份 组 抢占 ) 


。 通道 管理 (trans-only) 
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状态 一 致 性 管理 


© 各 备份 组 的 主 / 备 状态 变化 都 需要 通知 其 所 属 的 VGMP 管 理 组 ， 
由 VGMP 管 理 组 决定 是 否 介 许 VRRP 备 份 组 进行 主 / 备 状态 切换 。 
如 果 需 要 切换 ， 则 VGMPR 管 理 组 控制 所 有 的 VRRP 备 份 组 统一 切 
换 。VRRP 备 份 组 加 入 到 管理 组 后 ， 状 态 不 能 自行 单独 切换 。 

抢占 管理 

。 VRRP 备 份 组 本 身 具有 抢占 功能 。 即 当 原 来 出 现 故 障 的 主 设备 故 
障 恢复 时 ， 其 优先 级 也 会 恢复 ， 此 时 可 以 重新 将 自己 的 状态 抢占 

。 VGMP 管 理 组 的 抢占 功能 和 VRRP 备 份 组 类 似 ， 当 管理 组 中 出 现 
故障 的 备份 组 故障 恢复 时 ， 管 理 组 的 优先 级 也 将 恢复 。 此 时 
VGMP 可 以 决定 是 否 需要 重新 抢占 称 为 主 设备 。 

。 当 VRRP 备 份 组 加 入 到 VGMP 管 理 组 后 ， 备 份 组 上 原来 的 抢占 功 
能 将 失效 ， 抢 占 行为 发 生 与 否 必须 由 VGMP 管 理 组 统一 决定 。 
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。 通道 是 双 机 热 备 的 防火 墙 o VGMP、HRP 报 文 的 一 对 
VRRP 备 份 组 。 所 谓 通道 管理 ， 就 是 为 io 
火 墙 之 间 有 哪些 通道 ane VGMP、HRP 模 块 将 自动 选 
用 的 传输 通道 来 发 送 VGMP、HRP 报 文 。 


。 通道 管理 的 实现 依赖 于 主 备 防火 墙 的 VGMP 之 间 定 时 发 送 的 
Hello 报 文 ， 其 中 携带 了 双方 的 各 个 备份 组 成 员 的 状态 信息 ， 由 
此 可 以 判断 通道 的 可 用 性 。 
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VGMP 实 现 原 理 


备份 组 1 USGA 管理 组 


Master 
’ ` 
‘ ` 
E 
H T 
+ 1 aa 

i ' 了 x 

i I 1 q 

2 1 t 1 


备份 组 2 
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VGMP 管 理 组 状态 (MasterSlave) 


当 防 火 墙 上 的 VGMP 管 理 组 为 Master 状 态 时 ， 它 保证 组 内 所 有 
VRRP 备 份 组 的 状态 统一 为 Master 状 态 ， 这 样 所 有 报 文 都 将 从 该 
防火 墙 上 通过 ， 该 防火 墙 成 为 主 用 防火 墙 。 此 时 另外 一 人 台 防 火 墙 
上 对 应 的 VGMP 管 理 组 为 备 状 态 ， 该 防火 墙 成 为 备用 防火 墙 。 

。 在 配置 VGMP 时 ， 也 需要 指定 VGMP 管 理 组 的 优先 级 ， 两 全 防火 
墙根 据 优 先 级 决定 谁 将 成 为 主 防火 墙 。 VGMP 管 理 组 的 优先 级 会 
根据 组 内 的 VRRR 备 份 组 成 员 的 状态 动态 调整 ， 以 此 完成 两 合 防 
火 墙 的 主 备 倒 换 。 


VGMP 管 理 组 主 、 备 状态 的 通告 报 文 (Hello) 


。 与 VRRFP 类 似 ， 状 态 为 Master 的 VGMP 也 会 定期 向 对 端 发 送 Hello 
报 文 , 通知 Slave 端 本 身 的 运行 状态 (包括 优先 级 、VRRP 成 员 
状态 等 ) 。 与 VRRP 不 同 的 是 ，Slave 端 收 到 Hello 报 文 后 ， 会 
应 一 个 ACK 消 息 ， 该 消息 中 也 会 携带 本 身 的 优先 级 、VRRP 成 员 
状态 等 。 两 人 台 防 火 墙 通过 Hello 报 文 交互 各 自 的 状态 信息 。 

。 VGMP Hello 报 文 发 送 周期 缺 省 为 1000ms。 当 Slave 端 三 个 Hello 
报 文 周期 没有 收 到 对 端 发 送 的 Hello 报 文 时 ， 会 认为 对 端 出 现 故 
障 ， 从 而 将 自己 切换 到 Master 状 态 。 
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VGMP 数 据 通道 


Untrust 
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两 台 防 火 墙 的 VGMP 管 理 组 之 间 通 信 的 VGMP 报 文 、 数 据 备份 的 HRP 报 
文 ， 都 是 通过 VGMP 管 理 组 中 的 数据 通道 进行 传输 的 。 数 据 通道 是 指 两 
端 防火 墙 的 VGMP 管 理 组 中 相对 应 的 一 对 VRRP 备 份 组 成 员 。 如 下 图 中 
共有 四 个 数据 通道 。 

两 合 防火 墙 之 间 的 直 连 的 链 路 〈 如 图 中 的 A4-B4) ， 一般 也 称 为 HRP 心 
跳 线 。 使 用 专用 的 链 路 来 承载 V6MP 和 HRP 报 文 可 以 提高 双 机 热 备 的 可 
靠 性 。 
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防火 墙 状态 信息 的 备份 


VGMP 可 以 保证 报 文 来 回路 径 通过 同一 台 防 火 墙 。 当 主 防火 
沁 出 现 故 障 时 ， 所 有 流量 都 将 切换 到 备 防火 墙 。 但 USG 防 火 
墙 是 状态 防火 墙 ， 如 果 备 防火 墙 上 没有 原来 主 防 火 墙 上 的 连 
接 状 态 数 据 ， 则 切换 到 备 防 火 墙 的 很 多 流量 将 无 法 通过 ， 造 
成 现 有 的 连接 中 断 ， 此 时 用 户 必须 重新 发 起 连接 。 

为 了 实现 主 用 设备 出 现 故障 时 能 由 备用 设备 平滑 地 接替 工作 ， 
需要 在 主 、 备 用 设备 之 间 备 份 关键 配置 命令 和 会 话 表 状 态 等 
关键 信息 。 
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HRP 的 出 现 ， 解 决 了 主 备用 防火 墙 状态 信息 备份 的 难题 。 
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HRP 


HRP (Huawei Redundancy Protocol) 华为 见 余 协议 

华为 公司 宛 余 协议 HRP (Huawei Redundancy Protocol) 是 
承载 在 VGMP 报 文 上 进行 传输 的 。HRP 用 于 在 主 用 设备 和 备 ~ 
用 设备 之 间 备 份 关键 配置 命令 和 会 话 表 状态 等 关键 信息 。 
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HRP 模 块 提供 了 一 个 基础 的 数据 备份 机 制 和 传输 功能 。 各 个 应 用 模块 收 
集 本 模块 需要 备份 的 数据 ， 提 交 给 HRP 模 块 ，HRP 模 块 负责 将 数据 发 送 
到 对 端 防火 墙 的 对 应 模块 ， 应 用 模块 需要 再 将 HRP 模 块 提 交 上 来 的 数据 
进行 解析 ， 并 加 入 到 防火 墙 的 动态 运行 数据 池 中 。 

备份 内 容 


。 要 备份 的 连接 状态 数据 包括 TCP/UDP 的 会 话 表 、ServerMap 表 
项 、 动 态 黑 名 单 4 NO-PAT 表 项 、ARP 表 项 等 。 当 备 防 火 墙 上 没 
有 这 些 数据 时 & 切换 到 备 防 火 墙 上 的 流量 可 能 会 被 防火 墙 阻 拦 ， 
从 而 造成 连接 中 断 。 
备份 方向 


。 只 要 防火 墙 上 有 状态 为 主 的 VGMP 管 理 组 ， 则 它 就 会 向 对 端 备份 。 
当 两 台 防 火 墙 上 都 有 状态 为 主 的 管理 组 时 ， 则 连接 状态 数据 会 相 
互 备份 (但 会 保证 不 会 重复 备份 ) 。 在 某 些 复杂 的 双 机 热 备 份 组 
网 中 ， 同 一 台 防 火 墙 上 可 能 配置 多 个 VGMP 管 理 组 ， 且 这 些 管 理 
组 的 状态 有 可 能 不 一 致 ， 这 样 导致 主 设备 和 备 设 备 的 界限 变 得 模 
糊 。 
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HRP/VGMP/VRRP 之 间 的 关系 


VGMP 管 理 组 


VGMP 报 文 


VRRP 备 份 组 


VRRR 报 广 
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当 VGMP 管 理 组 状态 变化 时 ， 系 统 将 通知 HRP 状 态 和 配置 主 / 从 设备 的 状 
态 发 生 相应 的 变化 ， 从 而 确保 两 全 防火 墙 之 间 配 置 命令 和 会 话 状态 信息 
得 到 及 时 备份 。 同 时 ，VGMP 管 理 组 状态 也 要 受 HRP 状 态 影响 ， 即 
VGMP 会 根据 HRP 状 态 切换 的 结果 来 调整 优先 级 ， 并 进行 VGMP 状 态 切 
换 。 

VGMP 管 理 组 报 文 和 HRP 模 据 的 报 文 ， 都 是 通过 主 VRRP 的 接口 进行 传 
输 ， 当 VRRP 接 口 接 到 的 报 奖 为 VGMP 管 理 组 报 文 时 ， 就 交 与 VGMP 模 
块 进行 处 理 ; 当 接 到 的 报 交 是 VGMP 的 数据 报 文 时 ， 则 通过 VGMP 模 块 
与 HRP 模 块 的 接口 转 到 HRP 模 块 进行 处 理 。 

当 VRRP 备 份 组 状态 变化 时 ， 由 VGMP 管 理 组 来 决定 是 否 发 生 VGMP 管 
理 组 的 状态 变化 天 并 继而 决定 是 否 引 起 HRP 和 配置 主 /从 设备 的 状态 变 
化 。 
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OEE: 


双 机 热 备 份 技术 原理 
USG 防 火 墙 双 机 热 备份 技术 
双 机 热 备份 技术 在 防火 墙 上 的 实施 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 





HC Series HUAWEI TECHNOLOGIES 第 155 页 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





防火 墙 双 机 热 备 份 组 网 方式 


USG 的 双 机 热 备 份 ， 可 以 工作 在 路 由 模式 和 混合 模式 两 种 模 
起 下 
。 路 由 模式 是 指 USG 的 业务 端口 和 HRP 备 份 通道 接口 均 工作 在 路 x 
由 模式 下 。 
。 混合 模式 是 指 USG 的 业务 端口 工作 在 透明 模式 下 ， 而 HRP 备 份 
通道 接口 工作 在 路 由 模式 下 。 
路 由 模式 和 混合 模式 都 包含 两 种 组 网 方式 : 
。 主 备 组 网 方式 
。 负载 分 担 组 网 方式 
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路 由 模式 下 的 双 机 热 备份 


。 路 由 模式 下 的 双 机 热 备份 主要 是 指 USG 通 过 路 由 模式 的 接口 接 
收 和 发 送 业 务 报 文 、VRRP 报 文 VGMP 报 文 和 HRP 报 文 。 


。 为 了 提高 可 靠 性 ， 建 议 用 户 配 置 专用 HRP 备 份 通道 ， 利 用 此 通道 
传送 VRRP 报 文 、VGMP 报 文 和 HRP 报 文 。 


混合 模式 下 的 双 机 热 备 份 


。 混合 模式 下 的 双 机 热 备 份 主要 是 指 USG 通 过 透明 模式 的 接口 接 
收 和 发 送 业 务 报 变 ， 用 以 完成 网 络 应 用 ; 通过 路 由 模式 的 接口 传 
送 VRRP、VGMP 和 HRP 报 文 ， 用 以 维护 防火 墙 的 主 备 关系 。 


。 混合 模式 下 的 双 机 热 备份 除 能 够 提供 透明 模式 的 无 颖 接 入 ， 对 外 
提供 二 层 交 换 机 (透明 模式 下 的 防火 墙 ) 业务 外 ， 还 能 保证 当主 
用 防火 墙 发 生 故 障 后 ， 流 量 能 够 转换 到 备用 防火 墙 上 ， 保 证 业务 
的 连续 性 。 
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路 由 模式 - 主 备 组 网 方式 


Master 管 理 组 


Slave 管 理 组 
Conen] eS 
| A | Master| 备 b 组 1, 2,3| | £m 100% | 
| B | sive | pm. 2,3| mel am] 0 | 
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USG 作 为 安全 设备 被 部 署 在 业务 节点 上 5 其 中 上 下 行 设 备 均 是 交换 机 ， 
USG A、USG B 分 别 充 当主 用 设备 和 备用 设备 ， 且 均 工 作 在 路 由 模式 下 。 


网 络 规划 如 下 : 


。 需要 保护 的 网 段 地 址 为 10.100Y10.0/24， 与 防火 墙 的 
GigabitEthernet 1/0/0 接 口 相 连 ， 部 署 在 Trust 区 域 。 


。 外 部 网 络 与 防火 墙 的 GigabitEthernet 3/0/0 接 口 相连 ， 部 署 在 
Untrust 区 域 。 


。 两 人 台 防 火 墙 的 HRP 备 份 通道 接 口 GigabitEthernet 2/0/0 部 署 在 
DMZ 区 域 。 


。 两 台 防 火 墙 分 别 通过 交换 机 连接 各 个 安全 区 域 。 
其 中 ， 各 安全 区 域 对 应 的 备份 组 虚拟 IP 地 址 如 下 : 

。 Trust 区 域 对 应 的 备份 组 虚拟 IP 地 址 为 10.100.10.1。 

。`Untrust 区 域 对 应 的 备份 组 虚拟 IP 地 址 为 202.38.10.1。 

。、DMZ 区 域 对 应 的 备份 组 虚拟 IP 地 址 为 10.100.20.1。 
USGA 
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e GE1/0/0: 
GE3/0/0: 


USG B 


e GE1/0/0: 
GE3/0/0: 


10.100.10.2/24; GE2/0/0: 10.100.20.2/24; 
202.38.10.2/24 


10.100.10.3/24; GE2/0/0: 10.100.20.3/24; 
202.38.10.3/24 


x 
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路 由 模式 - 主 备 组 网 方式 配置 参考 1 


Master 管 理 组 


备份 组 1 GE1/0/9 


0 备份 组 2 


GE1/0/0 3B E3/0/Q 


USG B 
Slave 管 理 组 
interface GigabitEthernet 1/0/0 
igabitEthernet1/0/0] ip address 10.100.10.2 24 
0-GigabitEthernet1/0/0] vrrp vrid 1 virtual-ip 10.100.10,1 master 
interface GigabitEthernet 3/0/0 
2100-GigabitEthernet3/0/0] ip address 202.38.10.2 24 
USG2100-GigabitEthernet3/0/0] vrrp vrid 2 virtual-ip 202.38.10.1 master 


# 将 GE1/0/0 和 GE3/0/0 加 入 到 对 应 的 VRRP 备 份 组 中 。 
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# 配置 GigabitEthernet 1/0/0 加 入 Trust 区 域 。 
。 [USG2100] firewall zone trust 
。 [USG2100-zone-trust] add interface GigabitEthernet 1/0/0 
e [USG2100-zone-trust] quit 





# 配置 GigabitEthernet 3/0/0 加 WUntrust 区 域 。 
e [USG2100] firewall zone untrust 
e [USG2100-zone-untrust] add interface GigabitEthernet 3/0/0 
e [USG2100-zone-untrust] quit 
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路 由 模式 - 主 备 组 网 方式 配置 参考 2 


Master 管 


Slave 管 理 组 
interface GigabitEthernet 2/0/0 


USG2100-GigabitEthernet2/0/0] ip address 10.100.20.2 24 
00-GigabitEthernet2/0/0] vrrp vrid 3 virtual-ip 10.100.20.1 master 
# 将 GE2/10/0 加 入 到 对 应 的 VRRP 备 份 组 中 。 
{USG2100] hrp interface GigabitEthernet 2/0/0 
hrp enable 
# 指 定 HRP 的 备份 通道 并 使 能 HRP 功 能 。 
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# 配置 GigabitEthernet 2/0/00 A DMZ Kats 
e [USG2100] firewall zone dmz 
e [USG2100-zone-dmz] add interface GigabitEthernet 2/0/0 
e [USG2100-zone-dmz] quit 


配置 USG B 
e USG B 和 上 述 NSG A 的 配置 基本 相同 ， 不 同 之 处 在 于 : 
= USG B 各 接口 的 IP 地 址 与 USG A 各 接口 的 IP 地 址 不 相同 。 
USG,B 的 VRRP 指 定 的 管理 组 应 该 设 为 Slave。 
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路 由 模式 - 主 备 组 网 方式 配置 参考 3 


Fei nes 


ESS) Untrust 


备份 组 2 


Slave 管 理 组 
00] hrp auto-sync config 
00] policy interzone trust untrust outbound 
00-policy-interzone-trust-untrust-outbound] poligy 1 
J0-policy-interzone-trust-untrust-outbound-1] ®ctiqQpermit 


erzone-trust-untrust-outbound all] poW cy source 


# 使 能 配置 命令 自动 备份 功能 并 添加 区 域 间 包 过 滤 规 则 。 
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X USG A 和 USG B 都 启动 HRP 功 能 并 添加 心跳 线 上 区 域 间 包 过 滤 规 则 
后 ， 在 USG A 上 开启 配置 命令 的 自动 备份 学 这 样 在 USG A 上 配置 的 ACL 
以 及 域 间 包 过 滤 规 则 都 将 自动 备份 到 USG B， 不 需要 再 在 USG B 上 单独 
配置 。 








# 添 加 区 域 间 包 过 滤 规 则 , 使 VRRP 报 文 可 以 在 两 台 防 火 墙 之 间 的 心跳 
线 上 交互 。 
。 HRP_M[USG}] policy interzone trust untrust outbound 





e HRP_M[USG2100-policy-interzone-trust-untrust-outbound] 
policy’ 1 

e HRP_M[USG2100-policy-interzone-trust-untrust-outbound-1] 
action permit 


e HRPYM[USG2100-policy-interzone-trust-untrust-outbound-1] 
policy source 10.100.10.0 mask 24 
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路 由 模式 - 主 备 组 网 方式 配置 验证 


Master 管 理 组 


备份 组 1 GE1/0/0 


备份 组 2 


HRP M[USG2100] display hrp state 

he firewall's config state is: MASTER 

Current state of virtual routers configured as mas 
SigabitEthernet1/0/0 vrid 1 : master 
GigabitEthernet3/0/0 vrid 2 : master 
SigabitEthernet2/0/0 vrid 3 : master 


# 在 USG A 上 执行 display hrp state 命 令 ， 检 查 当 前 HRP 的 状态 ， 显 示 以 上 信息 表示 HRP 建 立成 功 。 
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在 USG A 上 执行 display vrrp 命 令 ， 检查 VRRP 备 份 组 内 接口 的 状态 信息 ， 显 示 
以 下 信息 表示 VRRP 备 份 组 建立 成 功 。 


HRP_M[USG2100] display vrrp 




















e GigabitEthernet1/0/0 | Virtual Router 1 
a state : Master 
« Virtual IP : 10.100,10.1 
a Virtual MAC : 0000-5e00-0101 
= Primary,IP : 10.100.10.2 
a PriorityRun : 100 
a / PriorityConfig : 100 
a “MasterPriority : 100 
» Preempt: YES 
a / Delay Time: 0 
=» Timer: 1 
a Auth Type : NONE 
a Check TTL: YES 
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。 GigabitEthernet3/0/0 | Virtual Router 2 
a state : Master 
a Virtual IP : 202.38.10.1 
a Virtual MAC : 0000-5e00-0102 
a Primary IP : 202.38.10.2 xX 
a PriorityRun : 100 
a PriorityConfig : 100 
a MasterPriority : 100 
a Preempt: YES 
a Delay Time: 0 
a Timer: 1 
a Auth Type : NONE 
a Check TTL: YES 
e GigabitEthernet2/0/0 | Virtual Router 3 
a state : Master 
a Virtual IP : 10.100.20M 
a Virtual MAC : 0000-5e00-0103 
a Primary IP *40.100.20.2 
a PriorityRuns100 
a PriorityConfig : 100 
a /MasterPriority : 100 
a “Preempt : YES 
wm Delay Time : 0 
w Timer: 1 
a Auth Type : NONE 
a Check TTL: YES 








= hrp auto-sync config: 这 条 命令 是 启动 配置 命令 的 自动 
备份 。 此 时 通过 display current 可 以 看 到 在 防火 墙 A 上 配 
置 的 ACL 同 步 到 防火 墙 B 上 。 
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路 由 模式 -负载 分 担 组 网 方式 


Master/Slave 管 理 组 
USGA 


备份 组 4  GE1/0/0 38 GE3/0/0 


Slave/Master 管 理 组 


| B | seve| gpm 2,3 | R | gp NS o | 
| A | sae| gpm se | e| ma | o0 | 
| Bb | Master] gpm. 5.6 | 高 | “atm | me 
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USG 作 为 安全 设备 被 部 署 在 业务 节点 上 其 中 上 下 行 设备 均 是 交换 机 ， 
USG A 和 USG B 使 用 负载 分 担 方式 组 网 沪 且 均 工作 在 路 由 模式 下 。 


网 络 规划 如 下 : 


。 需要 保护 的 网 段 地 址 为 10.100Y10.0/24， 与 防火 墙 的 
GigabitEthernet 1/0/0 接 口 相 连 ， 部 署 在 Trust 区 域 。 


。 外 部 网 络 与 防火 墙 的 GigabitEthernet 3/0/0 接 口 相连 ， 部 署 在 








Untrust 区 域 。 
。 两 台 防 火 墙 的 RRP 备 份 通道 接口 GigabitEthernet 2/0/0 部 署 在 
DMZ 区 域 。 


。 两 台 防 火 墙 分 别 通过 交换 机 连接 各 个 安全 区 域 。 
其 中 ， 各 安全 区 域 对 应 的 备份 组 虚拟 IP 地 址 如 下 : 
。 Trust 区 域 对 应 的 备份 组 虚拟 IP 地 址 为 : 
= 备份 组 1: 10.100.10.1; 备份 组 4: 10.100.10.2 
。Untrust 区 域 对 应 的 备份 组 虚拟 IP 地 址 为 : 
= 备份 组 2 : 202.38.10.1; 备份 组 5: 202.38.20.2 
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DMZ 区 域 对 应 的 备份 组 虚拟 IP 地 址 为 : 
。 备份 组 3: 10.100.20.1; 备份 组 6: 10.100.20.2 
USG A 


e GE1/0/0: 10.100.10.3/24; GE2/0/0: 10.100.20.3/24 ; 
GE3/0/0: 202.38.10.3/24 X 


USG B 


e GE1/0/0: 10.100.10.4/24; GE2/0/0: 10.100.20.4/24; 
GE3/0/0: 202.38.10.4/24 
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路 由 模式 -负载 分 担 组 网 方式 配置 参考 1 


Master/Slave 管 理 组 
GA 


备份 组 : ”GE1/0/0 3B GE3/0/0 ”备份 组 5 


Spee Sn + aaa 将 接口 GE1/0/0 和 GE3/0 旋 hg 到 
Slave/Master 管 理 组 对 应 的 VRRR 备 份 组 中 


interface GigabitEthernet 1/0/0 
00-GigabitEthernet1/0/0] ip address 10.100.10,.3 24 
gabitEthernet 0] vrrp vrid 1 virtual-ip 10.100.10.1 master 


SigabitEthernet1/0/0] vrrp vrid 4 virtual-ip 10.100.10.2 Slave 
interface GigabitEthernet 3/0/0 
gabitEthernet3/0/0] ip address 202.38.10.3 24 


igabitEthernet3/0/0] vrrp vrid 2 virtual-ip 202738.10.1 master 


slave 
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# 配置 GigabitEthernet 1/0/01 A Trusti 
e [USG2100] firewall zone trust 
e [USG2100-zone-trust] add interface GigabitEthernet 1/0/0 
e [USG2100-zone-trust] quit 

# 配置 GigabitEthernet 3/0/0 加 WUntrust 区 域 。 





e [USG2100] firewall zone untrust 
e [USG2100-zone-untrust] add interface GigabitEthernet 3/0/0 
e [USG2100-zone-untrust] quit 
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路 由 模式 -负载 分 担 组 网 方式 配置 参考 2 


Master/Slave 管 理 组 
GA 


备份 组 5 


Os) Untrust 


备份 组 2 
备份 组 4 cE GE3/0/0 


Slave/Master 管 理 组 
10) interface GigabitEthernet 2/0/0 


GigabitEthernet2/0/0] ip address 10.100.20.3 24 
gabitEthernet2/0/0) vrrp vrid 3 virtual-ip 10.100.20.1 master 
)0-GigabitEthernet2/0/0]) vrrp vrid 6 virtual-ip 10.100.20.2.shave 
0] hrp interface GigabitEthernet 2/0/0 


2100] hrp enable 
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# 配置 GigabitEthernet 2/0/00 A DMZ Kats 
e [USG2100] firewall zone dmz 
e [USG2100-zone-dmz] add interface GigabitEthernet 2/0/0 
e [USG2100-zone-dmz] quit 
配置 USG B 
e USG B 和 上 述 USG A 的 配置 基本 相同 ， 不 同 之 处 在 于 : 
= USGB 各 接口 的 IP 地 址 与 USG A 各 接口 的 IP 地 址 不 相同 。 


= 在 USG,A 上 被 加 入 到 Master 管 理 组 的 VRRP 备 份 组 ， 在 
USG B 上 应 该 加 入 到 Slave 管 理 组 中 ; 在 USG A 上 被 加 入 
到 Master 管 理 组 的 VRRP 备 份 组 ， 在 USG B 上 应 该 加 入 
到 Slave 管 理 组 中 。 
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路 由 模式 -负载 分 担 组 网 方式 配置 参考 3 


Master/Slave 管 理 组 
GA 


备份 组 5 


EOS) Untrust 


备份 组 2 


备份 组 4 TAD 3h GE3/0/0 
USG B 
Slave/Master 管 理 组 


*HRP_M[USG2100] hrp auto-sync config 

»HRP_M[USG2100] policy interzone trust untrust outbound 
»HRP_M[USG2100-policy-interzone-trust-untrust-outbound] policy 1 
eHRP_M[USG2100-policy-interzone-trust-untrust-outbound-1] action permit 
»«HRP_M[USG2100-policy-interzone-trust-untrust-outbound-1] policy source 10.100.10,0 mask 24 


# 使 能 配置 命令 自动 备份 功能 并 添加 区 域 间 包 过 滤 规 则 。 
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X USG A 和 USG B 都 启动 HRP 功 能 并 添加 心跳 线 上 区 域 间 包 过 滤 规 则 
后 ， 在 USG A 上 开启 配置 命令 的 自动 备份 这 样 在 USG A 上 配置 的 ACL 
以 及 域 间 包 过 滤 规 则 都 将 自动 备份 到 USG B， 不 需要 再 在 USG B 上 单独 
配置 。 








# 添 加 区 域 间 包 过 滤 规 则 , ,使 VRRP 报 文 可 以 在 两 合 防火 墙 之 间 的 心跳 
线 上 交互 。 
。 HRP_M[USG2400] policy interzone trust untrust outbound 





e HRP_M[USG2100-policy-interzone-trust-untrust-outbound-1] 
policy/1 

e HRP_M[USG2100-policy-interzone-trust-untrust-outbound-1] 
action permit 


e HRPYM[USG2100-policy-interzone-trust-untrust-outbound-1] 
policy source 10.100.10.0 mask 24 





第 168 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 一 章 华为 安全 产品 与 技术 





路 由 模式 -负载 分 担 组 网 方式 配置 验证 


: MASTER 


onfigured as master: 


m 
2:m 

T 

m 


abitEthernet1/0/0 vrid La 
Current state irtual routers configured as slave: 
abitEthernet3/ 0 vrid 
abitEthernet2/0/0 vrid 
GigabitEthernet1/0/0 vrid 4: 
# 在 USG A 上 执行 display hrp state 命 令 ， 检 查 当 前 HRP 的 状态 。 从 以 
上 显示 信息 可 以 看 出 ， 在 USG A 上 ，VRRP 备 份 组 1、2、3 属 于 Master 


管理 组 ; VRRP 备 份 组 4、5、6 属 于 Slave 管 理 组 。 
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在 USG A 上 执行 display vrrp 命 令 ， 检 查 YRRP 备 份 组 内 接口 的 状态 信息 ， 
显示 以 下 信息 表示 VRRP 备 份 组 建立 成 功 。 


HRP_M[USG2100]dis vrrp 
e GigabitEthernet3/0/0 | Virtual\Router 2 





e state : Master 

。 Virtual IP : 202.38.10.1 

° PriorityRun ; 100 

。 PriorityConfig 100 

e MasterPriority : 100 

° PreemptsYES Delay Time : 0 

e Timer : 1 

e Auth Type : NONE 

e Check TTL : YES 
。vGigabitEthernet3/0/0 | Virtual Router 5 


> state : Backup 
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e Virtual IP : 202.38.10.2 

° PriorityRun : 100 

。 PriorityConfig : 100 

e MasterPriority : 100 

e Preempt: YES Delay Time : 0 
。 Timer: 1 

。 Auth Type : NONE 

° Check TTL : YES 

e GigabitEthernet2/0/0 | Virtual Router 3 
。 state : Master 

° Virtual IP : 10.100.20.1 

e PriorityRun : 100 

e PriorityConfig : 100 

e MasterPriority : 100 

。 Preempt: YES Delay Timex_0 
e Timer: 1 

。 Auth Type : NONE 

° Check TTL : YES 

e GigabitEthernet2/0/0 | Virtual Router 6 
e state : Backup 

° Virtual IP : 10.100.20.2 

e PriorityRun : 100 

。 PriorityConfig : 100 

e MasterPriority : 100 

。 Preempt :YES Delay Time: 0 
e Timer: 1 

e Auth Type : NONE 

° Check TTL : YES 
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e GigabitEthernet1/0/0 | Virtual Router 1 
e state : Master 

° Virtual IP : 10.100.10.1 

° PriorityRun : 100 

e PriorityConfig : 100 xX 
e MasterPriority : 100 

。 Preempt :YES Delay Time : 0 

e Timer: 1 

e Auth Type : NONE 

° Check TTL : YES 

e GigabitEthernet1/0/0 | Virtual Router 4 
e state : Backup 

° Virtual IP : 10.100.10.2 

° PriorityRun : 100 

。 PriorityConfig : 100 

e MasterPriority : 100 

。 Preempt :YES Delay Time : 0 

e Timer: 1 

。 Auth Type :NONE 

° Check TIL “YES 
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混合 模式 - 主 备 组 网 方式 


Switch 1 USGA Switch 3 
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防火 墙 上 下 行 设 备 是 二 层 交 换 模块 ， 并 县 是 天 种 主 备 备份 方式 的 组 网 ， 
其 中 Switch-1、Swithc-3 为 主 用 设备 ; 

防火 墙 上 下 行业 务 端口 工作 在 透明 模式 > 心跳 接口 工作 在 路 由 模式 ; 
为 了 提高 网 络 的 可 靠 性 ， 要 求 采 用 两 台 防 火 墙 形成 双 机 热 备份 ; 
防火 墙 USG A 的 G0/0/0、G09/0/4、G0/0/2 接 口 分 别 位 于 trust、dmz 和 


untrust 区 域 ， 心 跳 接 口 GEOY0A 的 IP 地 址 为 10.100.20.2/24， 备 份 组 虚拟 
IP 地 址 为 10.100.20.1/24% 


防火 墙 USG B 的 G0/0/Qw<G0/0/1、G0/0/2 接 口 分 别 位 于 trust、dmz 和 和 
untrust 区 域 ， 心 跳 接 所 GE0/O/1 的 IP 地 址 为 10.100.20.3/24， 备 份 组 虚拟 
IP 地 址 为 10.Y00s20.1/24。 


注意 : 防火 墙 上 下 行 端口 工作 在 透明 模式 ， 无 法 配置 |P 地 址 ， 故 PC1 和 
PC2 的 IP 地 址 应 属于 相同 网 段 。 
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混合 模式 - 主 备 组 网 方式 配置 参考 1 


Switch 1 USGA Switch 3 


Switch 4 


[USG2100] interface GigabitEthernet 0/0/1 
100-GigabitEthernet0/0/1] ip address 10.100.20.2 24 
100-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.1009204 人 4 master 
[USG2100] firewall zone dmz 


[USG2100-zone-dmz] add interface gigabitethernet 0/0/1 


# 配 置 GE0/0/1 所 属 的 VRRP 备 份 组 和 虚拟 IP 地 址 ， 并 将 其 加 入 DMZ 区 域 
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混合 模式 - 主 备 组 网 方式 配置 参考 2 


Switch 1 USGA Switch 3 


untrust 


Switch 4 


/0/0] portswitch 


] interface gigabitethernet 0/0/2 


USG2100-GigabitEthernet 0/0/2] portswitch 


# 配置 GE0/0/0 和 GE0/0/2 工 作 在 透明 模式 。 
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配置 接口 的 工作 模式 之 前 ， 需 要 首先 将 全 局 的 工作 模式 从 默认 的 路 由 模 
式 更 改 为 混合 模式 。 注 意 : 更 改 模式 后 需要 重启 防火 墙 设备 。 


# 进入 Trust 区 域 视图 。 





[USG2100] firewall zone trust 
# 配置 GigabitEthernet,0/0/0 加 入 Trust 区 域 。 





[USG2100-zone-trust] add interface gigabitethernet 0/0/0 
# 进入 Untrust 区 域 视图 。 





[USG2100] fifewall zone untrust 
# 配置 GigabitEthernet 0/0/2 加 入 Untrust 区 域 。 





[USG2100-zone-untrust] add interface gigabitethernet 0/0/2 


# 配置 统一 安全 网 关 域 间 缺 省 规则 为 允许 所 有 报 文通 过 (可 以 根据 实际 
需要 使 用 其 他 配置 策略 ) 。 


[USG2100] firewall packet-filter default permit all 
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混合 模式 - 主 备 组 网 方式 配置 参考 3 


Switch 1 USGA Switch 3 


Switch 4 


[USG2100] vlan 2 
100-vlan-2] port GigabitEthernet 0/0/0 
port GigabitEthernet 0/0/2 
[USG2100 : hrp track master 
# 建 立 VLAN 2， 将 接口 GE0/0/0 和 GE0/0/2 加 入 VLAN 2 并 指定 由 Master 管 理 组 监视 VLAN 2。 
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混合 模式 - 主 备 组 网 方式 配置 参考 4 


Switch 1 USGA Switch 3 


hrp enable 

hrp interface gigabitethernet 0/0/1 
Hf 使 能 HRP 双 机 热 备份 功能 ， 配 置 备份 会 话 表 的 通道 接口 。 在 混合 模式 下 只 能 选用 加 淮 到 VRRP 管 
孟 组 中 的 通道 接口 。 
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USG B 和 USG A 的 配置 绝 大 多 数 相 同 ， 差 别 好 下 : 
e USG B 上 的 接口 IP 地 址 与 USG A 不 同 。 
。 USG B 上 指定 由 Slave 管 理 组 监视 VLAN 。 
。 SER: HRP 备 份 通道 接口 不能 为 二 层 交换 接口 或 Vlanlf 接 口 。 
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混合 模式 - 主 备 组 网 方式 配置 验证 


HRP_M[USG2100] display hrp state 

The firewall's config state is: MASTER 

Current state of virtual routers configured as master: 
GigabitEthernet0/0/1 vrid 1: master 


# 在 USG A 上 执行 display hrp state 命 令 ， 检 查 当 前 HRP 的 状态 。 从 以 上 显示 信息 可 以 看 
H, 在 USGA 上 ，VRRP 备 份 组 1 属于 Master 管 理 组 。 


HRP_S[USG2100] display hrp state 

The firewall's config state is: SLAVE 

Current state of virtual routers configured as slave: 
GigabitEthernet0/0/1 vrid 1: slave 


# 在 USG B 上 执行 display hrp state 命 令 ， 检 查 当 前 HRP 的 状态 。 供 以 证 显示 信息 可 以 看 
出 ,在 USG B 上 ，VRRP 备 份 组 1 属于 Slave 管 理 组 。 
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在 USG A 上 执行 display vrrp 命 令 ， 检 查 VRRP 备 份 组 内 接口 的 状态 信息 ， 显 示 
以 下 信息 表示 VRRP 备 份 组 建立 成 功 。 


HRP_M[USG2100]dis vrrp 
e GigabitEthernet0/0/1 | Virtual Router 1 






































state : Master 

Virtual IP : 1024.00.20.1 
PriorityRun : 100 
PriorityConfig’: 100 
MasterPriority : 100 

Preempt: YES Delay Time : 0 
Timer: 1 

Auth Type : NONE 

Check TTL: YES 


在 USG B 上 执行 display vrrp 命 令 ， 检 查 VRRP 备 份 组 内 接口 的 状态 信息 ， 显 示 
以 不 信息 表示 VRRP 备 份 组 建立 成 功 。 


HRP NS[USG2100]dis vrrp 
e GigabitEthernet0/0/1 | Virtual Router 1 
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state : Backup 

Virtual IP : 10.100.20.1 
PriorityRun : 100 

PriorityConfig : 100 
MasterPriority : 100 

Preempt: YES Delay Time:0 
Timer: 1 

Auth Type : NONE 

Check TTL : YES 
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Oia x 


1、VGMP 管 理 组 的 主要 功能 有 哪些 ? 


2、 请 列举 常见 的 防火 墙 组 网 方式 。 
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X 


。 1、 状 态 一 致 性 管理 ; 抢占 管理 ; 通道 管理 。 


。 2、 路 由 模式 - 主 备 组 网 方式 %， 路 由 模式 -负载 分 担 组 网 方式 ; 混 
合 模式 - 主 备 组 网 方式 ; 混合 模式 -负载 分 担 方式 。 
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前 £ 
本 课程 介绍 弹性 分 组 数据 环 (RPR) 技术 的 基本 原理 与 配置 。 


RPR 技术 综合 了 SDH/SONET 和 以 太 网 以 及 其 它 一 些 环 网 技 人 
术 的 优点 ， 集 IP 的 智能 化 、 以 太 网 的 经 济 性 和 光纤 环 网 的 高 
带宽 、 高 可 靠 性 于 一 体 。 提 供 一 种 更 优 的 城 域 网 解决 方案 4 
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SDH/SONET (Synchronous DigitalHierarchy/Synchronous 
Optical Network) 环 网 的 优点 是 高 可 靠 性 ， 满 足 用 户 的 通信 要 求 ; 
能 够 提供 保护 和 快速 恢复 机 制 入 但 是 其 点 到 点 、 电 路 交换 的 设计 
目标 也 为 它 带 来 了 诸多 缺点 处 1) 带宽 在 节点 间 点 到 点 的 链 路 中 国 
定 分 配 并 保留 ; 2) 带宽 不 能 根据 网 络 中 流量 的 实际 情况 而 改变 ， 
不 利于 带宽 的 高 效 利用 ;.(3 六 广播 和 组 播报 文 将 分 成 多 个 单 播 完成 ， 
浪费 带宽 ; 4) 通常 为 实现 保护 机 制 ，50% 的 带宽 将 保留 ， 未 能 
提供 灵活 的 选择 机 制 。 

以 太 网 技术 具有 成 本 低 、 简 洁 、 易 扩展 、 以 及 便于 IP 包 的 传输 和 
处 理 等 特点 ,人 但 它 在 规模 、 端 到 端 业务 建立 、 质 量 保证 、 可 靠 性 
等 方面 还 存在 不 少 需要 克服 的 难题 。 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 理解 RPR 技术 的 基本 概念 
。 掌握 RPR 技术 的 基本 原理 
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OEE: 


环 网 技术 概述 
RPR 环 技术 
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环 网 技术 概述 


环 网 技术 就 是 将 一 些 网 络 设备 ， 通 过 环 型 拓扑 结构 连接 到 一 
起 ， 实 现 相互 通信 的 一 种 技术 。 
环 网 技术 : 

e Token Ring 


xX 


e FDDI 
SDH/SONET 
POS/GE 
RPR 环 
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环 网 技术 概述 续 ) 


Token Ring [ 令 牌 环 ] 是 最 早 引 入 数据 通信 领域 中 的 环 网 技术 ， 是 
一 个 基于 MAC 层 协议 的 单 向 环 网 ， 用 于 局 域 网 ， 不 具备 故障 自 愈 的 
保护 功能 。 念 牌 环 网 是 一 种 低速 网 络 ， 一 般 在 5 类 线 缆 上 面 传 送 。 
令 牌 环 网 的 节点 只 有 在 获得 令 牌 的 情况 下 才能 向 环 上 发 送 数据 ， 念 
牌 逐 点 传送 ， 每 个 节点 能 轮流 拥有 一 定 的 令 牌 时 间 ， 节 点 需要 等 待 
令 牌 以 传送 数据 。 已 有 令 牌 的 节点 ， 如 果 没有 数据 需要 传送 、 可 隘 
将 令 牌 传递 给 下 一 个 节点 。 数 据 包 采 用 源 节点 剥离 的 方法 ,， 即 数据 
包 被 送 到 环 网 上 后 ， 经 过 目的 节点 接收 后 ， 还 会 继续 在 环 上 转 一 圈 ， 
直到 回 到 源 节点 才 被 剥离 ， 显 然 ， 这 种 方式 下 ， 整 个 环 业 的 某 同 一 
时 刻 ， 只 能 有 一 个 节点 可 以 传送 数据 。 
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Token Ring [ 令 牌 环 ] 是 最早 引 入 数据 通信 领域 里 面 的 环 网 技术 ， 
是 一 个 基于 MAC 层 协议 的 单 向 环 网 。 其 特点 : 

。 一 种 低速 网 络 

。 节 点 只 有 获得 令 牌 时 才能 向 环比 发 送 数 据 

。 数 据 包 采 用 源 节点 剥离 的 方法 

。 不 具备 故障 自 合 的 保护 功能 
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环 网 技术 概述 《〈 续 ) 


FDDI【 光 纤 分 布 式 数据 接口 ] 可 以 说 是 一 种 改进 的 Token 

Ring 技 术 ， 也 是 利用 令 牌 来 传递 对 环 网 的 控制 权 ， 所 不 同 的 

是 ， 他 采用 了 双环 结构 ， 采 用 光纤 作为 传输 介质 ， 在 性 能 和 AASG 
效率 上 都 较 令 牌 环 网 有 很 大 提高 。 但 是 FDDI 和 Token Ring 


样 ， 不 具备 故障 自 愈 的 保护 功能 。 因 为 也 是 采用 源 地 址 剥离 
技术 ， 带 宽 得 不 到 有 效 利 用 。FDDI 网 络 目前 在 企业 四 和 校园 
网 中 得 到 广泛 的 应 用 。 
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FDDI【 光 纤 分 布 式 数据 接口 ] 可 以 说 是 二 种 改进 的 Token Ring 技 
术 。 其 技术 特点 : 

。 双 环 结构 

。 采 用 光纤 作为 传输 介质 

。 利 用 令 牌 来 传递 对 环 网 的 控制 权 

。 数 据 包 采 用 源 节点 剥离 的 方法 

。 不 具备 故障 自 仿 的 保护 功能 





HC Series HUAWEI TECHNOLOGIES 第 189 页 





HCDP-IENP ”第 二 章 可 靠 性 





环 网 技术 概述 续 ) 


SDH/SONET [数字 同步 系列 ] 是 目前 广泛 应 用 在 传输 网 络 里 面 的 
一 种 环 网 技术 ， 支 持 单 环 、 多 环 ， 具 有 高 可 靠 性 ， 能 提供 故障 自动 
保护 倒 换 APS 故 障 自 傅 机制 。 SDH/SONET 采 用 点 到 点 电路 交换 的 
设计 ， 环 内 带宽 被 静态 分 配 为 一 条 条 静态 固定 带宽 链 路 ， 使 用 时 分 
复 用 ， 主 要 为 语音 服务 。 由 于 其 点 到 点 电路 交换 的 设计 ， 带 来 了 很 
多 缺点 ， 如 逻辑 全 连接 时 带宽 浪费 严重 ， 带 宽 在 节点 间 点 到 点 的 链 
路 中 固定 分 配 并 保留 ， 带 宽 不 能 根据 网 络 中 流量 的 实际 情况 而 改变 ， 
不 利于 带宽 的 高 效 利 用 ， 很 难 适应 具有 突 发 性 特点 的 |P 数 据 业 务 。 

广播 和 组 播报 文 将 分 成 多 个 单 播 传送 ， 带 宽 浪费 严重 ， 而 且 对 于 

APS 特 性 ， 需 要 最 高 多 达 50% 宛 余 带 宽 ， 未 能 提供 灵活 的 选择 机 制 。 
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SDH/SONET [数字 同步 系列 ] <BR SZA A Efe tA N E 
的 一 种 环 网 技术 。 其 技术 特点 : 

。 单 环 、 多 环 都 支持 

。 采 用 点 到 点 、 电 路 交换 

。 采 用 时 分 复 用 

。 主 要 为 语音 服务 

。 高 可 靠 性 
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环 网 技术 概述 《〈 续 ) 


GE/POS， 严 格 来 说 ， 并 不 是 一 种 环 网 技术 ， 仅 仅 是 近年 来 ， 
网 络 上 的 一 种 比较 流行 的 组 网 应 用 。 将 网 络 上 面 的 N 个 节点 通 
过 N 条 链 路 首尾 相连 起 来 ， 整 个 环 其 实 是 由 N 个 相互 独立 的 点 
到 点 POS/PPP 连 接 构成 的 ， 业 务 在 节点 间 逐 点 三 层 转发 实现 


相互 通信 ， 节 点 需要 处 理 所 有 报 文 ， 严 重 影响 环 的 吞吐 量 S 
由 于 仅仅 是 一 个 组 网 性 的 应 用 ， 没 有 一 个 针对 环 级 别 的 带宽 
管理 ， 某 段 的 拥塞 无 法 通知 其 它 节点 ， 而 且 没 有 二 层 的 故障 
自 合 能 力 。 
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POS 环 ， 严 格 来 说 ， 并 不 是 一 种 环 网 技术 ”仅仅 是 近年 来 ， 网 络 
上 的 一 种 组 网 应 用 。 将 网 络 上 面 的 N 个 节点 通过 N 条 链 路 首尾 相连 
起 来 ， 整 个 环 其 实 是 由 N 个 相互 独立 的 点 到 点 POS/PPP 连 接 构 成 
的 。 其 技术 特点 : 

。 业 务 在 节点 间 逐 点 三 层 转 发 实现 相互 通信 

。 无 带宽 管理 方法 


。 不 具备 故障 自 您 的 保护 功能 ， 倒 换 完 全 由 路 由 协议 控制 。 
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使 目录 


RPR 环 技术 概述 


RPR 天 
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RPR 环 技术 概述 


RPR 技术 综合 了 SDH/SONET 和 以 太 网 以 及 其 它 一 些 环 网 技 

术 的 优点 ， 研 究 并 规范 化 一 种 环 网 拓扑 上 使 用 的 MAC 层 协 议 
-RPR [弹性 分 组 环 】， 满 足 未 来 网 络 的 要 求 。 集 IP 的 智能 WC 
化 、 以 太 网 的 经 济 性 和 光纤 环 网 的 高 带宽 、 高 可 靠 性 于 一 体 : 
提供 一 种 更 优 的 城 域 网 解决 方案 。 

RPR 的 设计 目标 定义 了 一 个 闭合 环 路 、 点 到 点 、 基 于 MAG 层 

的 逻辑 环 状 拓 扑 。 对 于 物理 层 来 说 ，RPR 就 是 一 组 点 到 点 的 
链 路 ; 而 对 于 数据 链 路 层 来 说 ，RPR 就 像 是 一 个 类 似 于 
Ethernet 的 广播 介质 网 络 。 
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RPR 技术 使 得 运营 商 在 城 域 网 内 以 低 成 本 提供 电信 级 的 服务 成 为 
可 能 ， 在 提供 类 似 SDH 级 网 络 环 靠 性 的 同时 降低 了 传送 费用 。 
RPR 有 别 于 传统 MAC 最 吸引 人 的 特点 是 具有 电信 级 的 可 靠 性 ， 使 
其 不 仅仅 只 是 局 限于 处 理 面 向 数据 的 业务 传送 需求 ， 同 时 可 以 形 
成 处 理 多 业务 传送 的 综合 传输 解决 方案 。 

RPR 是 IP 技 术 与 光 网 络 技术 直接 融合 的 产物 ， 它 源 于 客户 对 IP 业 
务 发 展 的 需求 ， 顺 应 最 新 的 技术 潮流 ， 为 IP 城 域 网 的 建设 带 来 了 
一 套 低 成 本 、 高 品质 的 解决 方案 。 

RPR (Resilient Packet Ring) 协议 是 一 个 工作 在 OSI (Open 
Systems Interconnection) 协议 栈 的 数据 链 路 层 的 介质 访问 控制 
协议 ， 主 要 应 用 在 城 域 网 中 。 

RPR 需要 专用 硬件 支持 。 
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RPR 环 技 术 特 点 


2PRT 1 其 木 要 I 
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RPR 环 技术 特点 


物理 层 多 样 性 

带宽 高 利用 率 

快速 保护 机 制 
公平 的 节点 带宽 分 配 

拓扑 自动 发 现 机 制 ， 支 持 即 插 即 用 
有 效 支 持 组 播 和 广播 


流量 等 级 保证 QoS ， 支 持 带宽 预 留 的 业务 
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物理 层 多 样 性 ; 
. RPR (弹性 分 组 环 ) 技术 是 二 种 疾 环 型 结构 上 优化 数据 业务 传送 
的 新 型 MAC 层 协议 ， 能 够 适应 多 种 物理 层 ( 如 SDH、 以 太 网 、 
DWDM 等 ) 

公平 的 带宽 分 配 协议 ， 提 高 带宽 利用 率 : 
. 环 网 的 资源 在 节点 之 间 是 共享 的 ，RPR 提 供 一 种 整个 环 网 级 别 的 
全 局 公平 算法 ， 以 保证 节点 间 公 平 享用 带宽 ， 并 尽力 提高 带宽 的 
最 大 利用 率 。 公 平 算法 能 够 动态 地 对 网 络 流量 进行 调控 ， 尽 量 避 
免 网 络 拥塞 ,3 王 突 发 的 大 数据 流量 进行 有 效 地 调节 ， 保 证 用 户 
EMSRS: 为 实现 这 一 目标 ，RPR 环 网 节点 监测 自身 带 
宽 资 源 的 使 用 情况 ， 同 时 在 节点 间 提供 显 式 的 反 压 机 制 ， 该 反馈 
信息 通告 发 送 源 网 络 当前 的 可 用 能 力 ， 使 之 调整 流量 ， 最 终 实现 














全 网 的 公平 6 
快速 保护 机 制 : 


。 对 于 环 上 突 发 的 故障 ，RPR 协 议 可 以 迅速 啊 应 ， 进 行 保护 ， 保 证 
业务 在 50ms 内 恢复 。 具有 网 络 拓扑 结构 的 自动 发 现 和 更 新 功能 : 
“在 网 络 拓 扑 变 化 时 ， 每 个 节点 通过 接收 RPR 环 上 其 它 节 点 的 

MAC 地 址 ， 自 动 建立 和 更 新 自己 的 拓扑 图 ， 使 得 网 络 初始 化 配 
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置 变 得 极其 简单 ， 实 现 了 即 插 即 用 ， 并 可 避免 手工 配置 带 来 的 错 
误 ， 便 于 进行 网 络 的 运营 维护 。 
支持 单 播 、 组 播 和 广播 : 


。 可 将 基于 IEEE 802.3MAC 地 址 的 单 播 、 组 播 和 广播 数据 包 映 射 
到 节点 的 RPR MAC 地 址 ， 实 现在 RPR 环 路 上 根据 节点 的 RPR 





MAC 地 址 完成 单 播 、 组 播 和 广播 数据 业务 的 传送 。 xX 
QOS 保证 : 


。RPR 天 然 具 备 很 好 的 QOS 保 证 ， 比 如 50ms 故 障 自 愈 能 力 、` 高 带 
宽 利 用 率 、 先 进 RPR-Fa 公 平 算法 等 ， 可 以 提供 高 本 靠 性 s AS 
吐 量 、 小 迟延 、 低 丢失 率 的 业务 保证 能 力 。RPR 支 三 种 流量 等 
级 。 
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OEE: 


RPR¥ 


RPR 


RPR 环 的 基本 概念 


RPR 环 的 
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RPR 环 的 基本 概念 


RPR 采用 逆向 双环 结构 ， 数 据 沿 环 网 在 节点 之 间 进 行 转发 。 
如 图 所 示 是 一 个 典型 的 RPR 环 网 ， 结 合 该 图 介绍 几 个 RPR 的 基本 概 


节点 (Station) 
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每 个 RPR 节点 (station) 都 采用 了 一 个 以 太 网 中 用 到 的 48 位 MAC 地 
址 作为 地 址 标识 ， 因 此 从 RPR 节点 设备 链 路 层 来 看 ， 这 两 对 收发 
的 物理 光 接口 只 是 一 个 链 路 层 接口 SS 从 网 络 层 来 看 ， 也 只 需要 分 
配 一 个 接口 IP 地 址 。 





第 198 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 二 章 可 靠 性 





RPR 环 的 基本 概念 《〈 续 ) 


0 环 (ringlet0) : RPR 双环 中 ， 数 据 帧 发 送 方向 为 顺 时 针 的 称 为 0 环 ， 
也 称 “ 外 环 ”。 


1 环 (ringlet1) : RPR 双环 中 ， 数 据 帧 发 送 方向 为 着 时 针 的 称 为 1 环 v NC 
也 称 “KER” 机 


节点 (Station) : RPR 环 网 上 的 设备 ， 它 负责 接收 和 转发 数据 4 
链 路 (Link) : 连接 相 邻 节点 之 间 的 一 段 传输 通道 。 相 邻 节 点 之 间 
由 方向 相反 的 两 条 链 路 连接 。 

段 (Span) : RPR 环 网 上 两 个 相 邻 节点 之 间 的 链 路 ,4 由 方向 
相反 的 两 条 链 路 组 成 。 
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外 环 和 内 环 都 传送 数据 包 和 控制 包 , /内 环 的 控制 包 携带 外 环 数据 
包 的 控制 信息 ， 反 之 亦 然 。 
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RPR 环 的 基本 概念 《〈 续 ) 


域 (Domain) : 多 个 连续 的 段 和 其 上 的 节点 构成 域 。 
节点 的 东 向 连接 段 : 指 和 节点 相 邻 的 一 个 段 ， 该 段位 于 节点 ¢ 
的 1 环 入 接口 所 在 的 一 侧 。 

节点 的 西向 连接 段 : 指 和 节点 相 邻 的 一 个 段 ， 该 段位 于 节点 

的 0 环 入 接口 所 在 的 一 侧 。 

边 (Edge) : 当 段 或 和 段 相 邻 的 节点 出 现 故障 时 ， 段 了 能 
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东 向 物理 层 的 “发 送 口 ”与 西向 物理 层 的 4“ 接 收口 ”通过 MAC 实 
体 连 接 在 一 起 ， 构 成 RPR 的 0 环 。 


东 向 物理 层 的 “接收 口 ”与 西向 物理 层 的 “发 送 口 ”相连 ， 构 成 
RPR 的 1 环 。 
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RPR 环 的 数据 操作 


RPR 下 的 保 和 
4 x } EJ 
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RPR 环 的 数据 操作 


在 RPR 环 网 中 ， 节 点 与 环 配合 ， 采 用 分 组 ADM (Add/Drop 
Multiplexer) 式 数据 交换 ， 完 成 数据 操作 。 结 合 下 图 介绍 
RPR 环 的 数据 操作 : x 


0 环 数 据 下 环 
0 环 数 据 上 环 


1 环 数 据 上 环 


1 环 数据 下 环 
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这 里 对 于 过 环 的 数据 操作 ， 与 SDH ADM 设 备 的 处 理 方式 很 相似 ， 
即 过 环 数据 流 不 需要 设备 上 层 处 理 ， 这 样 一 来 ， 设 备 处 理性 能 
大 提高 。 这 种 数据 分 组 的 ADM 式 交换 体系 很 容易 文 撑 各 种 高 速 链 
路 接口 。 
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RPR 环 的 数据 操作 〈 续 ) 


上 环 (insert) ; 节点 设备 把 来 自 环 网 外 的 数据 帧 插入 到 RPR 

环 网 的 数据 流 中 。 

下 环 (copy) : 节点 设备 从 RPR 环 网 的 数据 流 中 接收 数据 帧 ， ~ 
并 将 数据 帧 交 给 节点 上 层 作 相应 处 理 。 


WE (transit) : 节点 设备 将 途经 本 节点 的 数据 流转 发 到 下 广 


剥离 (strip) : 节点 设备 不 再 往 下 转发 途经 本 节 局 的 数据 ， 
即 终止 数据 帧 在 RPR 环 网 上 的 转发 。 
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RPR 环 作为 一 个 共享 的 媒体 介质 ，RPR 环 上 的 每 个 结 点 对 数据 包 
的 处 理 主要 有 四 种 操作 : Insert. transit. copy 和 Strip， 简 化 了 
结 点 间 的 操作 。 

Insert: 数据 包 上 环 操 作 。RRR 端 口 发 送 的 数据 包 是 经 过 L3 层 从 其 
他 端口 转发 而 来 ， 这 些 报 文 的 下 一 条 节点 均 是 环 上 节点 。 当 然 ， 

一 些 路 由 协议 报 文 会 直接 有 冰 务 层 生 成 ， 进 入 环 网 。 

copy: 接收 从 环 上 来 的 数据 报 ， 送 Host/L3 处 理 。 

Strip: 数据 包 下 环 操作 .对 于 目的 Mac 为 本 节点 的 数据 包 ， 节 点 
将 执行 剥离 操作 , ( 养 将 数据 送 往 L3 处 理 。 在 L3， 依 据 报 文 IP 地 址 
执行 转发 ， 转 发 到 其 它 端 口 ， 或 有 本 节点 的 业务 层 接 收 ， 如 路 由 
协议 报 文 。 

transit: 只 是 经 由 本 节点 去 往 其 它 节 点 的 数据 包 ， 本 节点 在 L2 执 

行 快速 转发 、L2 转 发 完全 由 硬件 完成 。 极 大 的 提高 了 RPR 节 点 的 
LEtS 而 对 于 其 它 环 技术 ， 所 有 的 包 ， 无 论 是 否 由 本 节点 接 
收 的 六 都 需要 送 到 L3 处 理 ， 不 适合 大 流量 网 络 。 对 于 多 播 业 务 ， 

节点 在 执行 L2 转 发 的 同时 ， 会 将 数据 包 送 往 L3 处 理 。RPR 节 点 特 
有 Passthough 工 作 模式 ， 对 所 有 报 文 简单 执行 transit 操 作 。 
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Pass though 模式 ， 在 这 种 模式 下 ， 一 个 RPR 节点 相当 于 一 环 上 

的 一 个 透明 节点 ， 对 上 下 节点 间 的 所 有 包 进 行 完全 转发 ， 包 括 
Usage Message 包 。 在 其 它 节点 的 拓扑 信息 里 面 没有 该 节点 ， 但 
是 原来 的 物理 双环 结构 仍然 保持 。 

在 Shut Down 或 者 上 层 失 效 的 情况 下 ， 节 点 会 自动 进行 Pass Q 
though 模 式 ， 以 保证 环 的 持续 可 用 性 ， 带 宽 不 受 影 响 。 而 IPS 自 动 
保护 发 生 时 ， 环 带宽 其 实 减 少 了 一 半 ， 因 为 环 已 经 从 正常 的 双环 
结构 变 为 了 单 环 结构 。 
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RPR 环 的 数据 操作 〈 续 ) 


对 于 单 播 流量 ， 在 源 节点 处 ， 采 用 上 环 操作 ， 使 数据 承载 到 0 环 或 1 

环 中 。 目 的 节点 执行 数据 下 环 和 剥离 操作 。 而 中 间 节 点 只 执行 数据 

过 环 操作 。 值 得 注意 的 是 ， 对 于 单 播 流量 ，RPR 采 取 的 是 目的 节点 X 
剥离 的 方式 ， 报 文 一 旦 到 达 目 的 地 ， 就 不 再 在 环 上 继续 传送 。 这 一 

点 不 同 于 传统 环 网 技术 所 采用 的 源 节点 剥离 。 目 的 节点 剥离 能 够 有 

效 提高 带宽 利用 率 ， 使 得 带宽 的 空间 重用 技术 更 高 效 。 

对 于 组 播 和 广播 流量 ， 由 于 有 多 个 目的 节点 ， 在 目的 节点 佐 同 时 执 

行 过 环 和 下 环 操作 。 相 应 的 数据 包 在 环 网 上 只 有 一 份 拷贝 。 移 播 和 
广播 是 基于 源 剥 离 的 ， 即 目的 节点 将 接收 数据 包 并 转发 汇 而 源 节点 

则 负责 将 多 播 包 和 广播 包 从 环 网 上 剥离。 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page22 w HUAWEI 


上 环 数 据 该 如 何 选择 0 环 还 是 1 环 ? 
。 每 个 RPR 节点 存储 着 一 张 选 环 表 ， 表 内 记录 着 从 本 节点 向 RPR 
环 网 上 其 它 节点 发 送 数据 帧 的 路 径 ， 即 从 0 环 发 送 还 是 从 1 环 发 送 。 
选 环 表 中 的 表 项 分 为 动态 选 环 表 项 和 静态 选 环 表 项 两 种 。 
= JSR: 动态 选 环 表 项 是 从 本 节点 向 RPR 环 网 上 其 它 
节点 发 送 数据 帧 的 最 优 路 径 。RPR 节点 依靠 拓扑 自动 
发 现 功能 自动 维护 动态 选 环 表 项 。 最 优 路 径 是 指 从 本 节 
点 到 月 的 节点 距离 最 近 〈 即 跳 数 最 少 ) 的 路 径 ， 当 0 环 
和 1 环 直 计算 出 的 跳 数 相同 时 ， 选 择 0 环 作为 最 优 路 径 。 
= ”静态 表 : 手动 配置 的 选 环 表 项 称 为 静态 表 项 。 与 动态 选 
环 表 项 不 同 ， 静 态 选 环 表 项 一 旦 配置 就 不 会 老化 。 通 过 
合理 地 配置 静态 选 环 ， 可 以 更 好 的 利用 环 网 带宽 ， 避 免 
一 个 环流 量 极 大 ， 而 另 一 个 环流 量 较 小 。 
RPR 环 网 对 于 组 播 、 广 播 和 未 知 单 播 数据 帧 的 剔除 有 两 种 方式 : 
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源 节点 剔除 和 TTL 吻 除 。 
。 源 节点 ; 剔除 是 指 当 数 据 帧 沿 环 网 传送 一 周 再 回 到 上 环节 点 时 ， 
被 上 环节 点 从 环 网 上 剔除 。 
TILA: 是 指 当 数 据 帧 的 TTL 字 段 值 为 0 时 ， 节 点 将 该 数据 帧 从 
环 网 上 剔除 。 Q 
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RPR 环 的 保护 倒 换 
RPR 环 的 
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RPR 环 的 保护 倒 换 


当 RPR 环 上 节点 失效 或 者 链 路 发 生 故 障 的 时 候 ，RPR 可 以 通 
过 自动 保护 倒 换 保 证 环 网 的 连通 性 ， 提 供 相当 于 SDH APS 的 
低 于 50 毫 秒 故 障 保护 能 力 。RPR 的 自动 保护 倒 换 不 需要 像 
SDH 一 样 的 50% 的 元 余 带宽 开销 。RPR 可 以 对 物理 媒质 的 故 
障 以 及 L2 层 的 节点 失效 进行 有 效 的 保护 。 
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RPR 采用 了 SDH 的 环形 结构 ， 同 时 也 继承 了 一 个 特点 ， 就 是 故障 
自 愈 能 力 非 常 强 ， 能 够 实现 50ms 时 间 内 的 故障 保护 切换 。 
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RPR 环 的 保护 倒 换 《〈 续 ) 


结合 下 图 介绍 RPR 环 的 保护 倒 换 : 
6 


图 1 Wrapping 方 式 图 2 Steering 方 式 
=>’ 
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2 种 保护 倒 换 方式 
。Wrapping 绕 回 方式 : 在 故障 链 路 两 端的 节点 内 部 把 0 环 和 1 环 连 
接 在 一 起 ， 重 新 形成 一 个 新 的 环 网 。 
。Steering 抄 近 方 式 : 更 新 拓扑 结构 ， 重 新 选 路 。 
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RPR 环 的 保护 倒 换 〈 续 ) 


对 于 环 上 正在 传送 的 数据 流量 ， 存 在 两 种 保护 方式 : 绕 回 (wrapping) tk 
护 方式 和 抄 近 (steering) 保 护 方式 。 


Wrapping 保 护 方式 下 ， 当 环 上 某 个 地 方 发 生 故 障 时 ， 故 障 附 近 两 个 节点 处 
将 自动 环 回 ， 即 把 内 环 和 外 环 连 在 一 起 ， 形 成 一 个 闭合 单 环 ， 整 个 环 可 利 
用 带宽 减少 50%。 环 回 后 ， 经 由 故障 节点 / 段 的 业务 将 在 环 回 节点 处 环 回 pw 
绕 行 相反 方向 ， 然 后 在 另外 一 个 环 回 节点 处 返回 到 原来 方向 ， 并 继续 传送 
到 目的 节点 。 如 图 1 所 示 ， 故 障 前 从 F 节 点 到 C 节 点 的 数据 流 ， 走 0 环 ， 路 和 茎 
为 F-A-B-C; 当 A 节 点 和 B 节 点 之 间 的 链 路 故障 后 ， 采 用 绕 回 保护 方式 is 在 
故障 链 路 两 端的 节点 上 通过 光路 环 回 ， 数 据 路 径 也 在 此 环 回 ， 总 的 路 径 为 
F-A-F-E-D-C-B-C。Wrapping 操 作 非 常 快 ， 几 乎 没有 包 损失 ,但 是 
Wrapping 后 ， 由 于 业务 包 在 环 上 绕 行 ， 带 宽 有 所 浪费 ， 特 别 是 敬 障 临近 的 
段 ， 对 并 发 业务 影响 较 大 ， 难 免 发 生 业 务 拥 塞 的 现象 。 
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RPR 环 的 保护 倒 换 《 续 ) 


Steering 保护 方式 下 ， 当 环 上 某 个 地 方 发 生 故 障 时 ， 指 名 故障 点 和 类 型 的 
Steering 保 护 消 息 会 瞬时 发 送 到 环 上 每 个 节点 ， 拓 扑 也 会 相应 更 改 。 有 了 
新 的 拓扑 ， 源 节点 只 需要 直接 按 新 的 拓扑 发 送 数据 给 目的 节点 即 可 ， 由 于 
路 径 选择 是 根据 新 的 拓扑 做 出 的 ， 数 据 可 以 经 由 一 个 方向 直接 到 达 目 的 节 
点 ， 无 需 从 发 生 故 障 的 地 方 环 回 。 如 图 2 所 示 ， 故 障 前 从 F 节 点 到 C 节 点 的 
数据 流 ， 走 0 环 ， 路 径 为 F-A-B-C; 当 A 节 点 和 B 节 点 之 间 的 链 路 故障 后 采 
用 抄 近 保护 方式 ， 从 F 节 点 到 C 节 点 的 数据 流量 改 抄 近 道 ， 走 另外 一 个 环 
(1 环 ) 到 达 目 的 节点 ， 路 径 为 F-E-D-C。Steering 保 护 方式 下 ， 原 染 的 双 
环 结构 变化 为 非 闭合 的 两 个 开口 的 单 环 ， 可 用 带宽 同样 减少 到 950%， 而 且 
由 于 Steering 操 作 稍 慢 一 点 ， 在 新 拓扑 获得 以 前 ， 已 经 发 出 的 小 部 分 数据 
将 在 故障 点 被 丢弃 (FFM) 。Steering 保 护 方式 下 ， 数 据 没 有 绕 行 ， 不 会 
由 于 绕 行 而 浪费 带宽 。 
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两 种 方式 的 比较 : 
。 绕 回 方式 的 优点 是 故障 切换 的 恢复 时 间 非 常 短 (50ms 以 内 )， 只 可 
能 丢失 极 少量 的 报 文 ， 不 会 造成 业务 中 断 的 情况 ， 问 题 是 占用 带 
宽 较 多 。 
。 抄 近 方 式 避 免 了 带宽 的 浪费 ， 但 是 由 于 需要 重新 收效 ， 恢 复 时 间 
较 长 ， 可 能 会 造成 考 些 业 务 的 中 断 。 
华为 公司 同时 支持 绕 贺 和 抄 近 这 两 种 方式 ， 并 且 结 合 这 两 种 方式 
各 自 的 优点 ， 取 长 补 短 ， 配 合 应 用 ， 采 取 先 用 绕 回 方式 ， 后 转 用 
抄 近 方 式 的 保护 流程 售 当 RPR 链 路 故障 出 现时 ， 立 即 启动 绕 回 方 
式 进 行 保护 ,人 不 中 断 业 务 ; 当 各 节点 的 各 种 状态 数据 (拓扑 信息 等 ) 
重新 收敛 并 稳定 下 来 后 ， 切 换 到 抄 近 方式 ， 以 便 节省 带宽 。 这 样 
可 以 达到 最 佳 的 保护 和 利用 效果 。 
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RPR 环 的 公平 算法 
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RPR 环 的 公平 算法 


RPR 通过 RPR 公平 算法 或 RPR-fa 算 法 (RPR Fairness 

Algorithm) 进行 拥塞 控制 。 当 一 个 节点 发 生 拥 塞 时 ， 它 通过 
反方 向 的 环 向 上 行 节 点 发 送 RPR 的 使 用 报 文 (Usage x 
Packet) ， 该 报 文 同时 还 起 到 维持 链 路 状态 的 作用 ， 上 行 贡 

点 根据 报 文中 的 信息 调整 自己 发 送 数 据 的 速率 ， 以 消除 拥 窗 8 
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RPR 采用 共享 带宽 方式 实现 各 节点 对 带宽 资源 的 利用 。 当 数据 流 
量 较 小 的 情况 下 ，RPR 可 以 满足 所 有 节点 流量 上 载 的 需求 。 但 是 
当 流量 较 大 的 时 候 ， 往 往 会 出 现 链 路 过 载 、 流 量 拥塞 的 情况 ， 流 
量 对 链 路 带宽 占用 需求 不 能 得 到 完全 满足 ， 在 这 种 情况 下 ， 有 些 
节点 可 以 会 利用 自身 位 置 优势 (近水楼台 先 得 月 ) 或 时 间 优势 (先入 
为 主 )， 过 多 地 霸占 带宽 , 影响 其 他 节点 对 带宽 的 享用 。 为 了 保证 
在 拥塞 或 超载 等 情况 下 各 节点 能 够 公平 地 享用 带宽 ，RPR 为 此 提 
供 专门 的 公平 算法 s 

RPR 的 公平 算法 是 一 种 分 布 式 的 公平 算法 ， 节 点 间 通 过 控制 报 文 
传递 公平 算法 所 需 的 各 项 信息 ， 包 括 允 许 速率 、 建 议 速 率 、 策 略 
指示 等 。 公 平 算法 包括 流量 统计 和 策略 处 理 以 及 处 理 中 的 多 个 阶 
BR, RAL REAL DEL. 

带宽 公平 和 拥塞 控制 机 制 属于 RPR 数据 链 路 层 MAC 控 制 子 层 部 分 
的 功能 。RPR 公 平 算法 只 适用 于 对 带宽 需要 进行 争 用 的 业务 ， 即 
对 EIR 业 务 和 尽力 传送 业务 起 作用 。 
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RPR 环 的 公平 算法 GF) 


如 图 所 示 ，RPR 环 中 有 A、B、C、D、E 五 个 节点 ，RPR 链 路 带宽 

为 2.5Gbps， 流 量 通过 0 环 传送 。 首 先 C、D 节 点 分 别 发 送 700Mbps 

流量 至 节点 ， 在 D-E 段 共享 带宽 ，D-E 段 链 路 消耗 的 带宽 为 1.4Gbps， 
无 拥塞 。 


700M 


oS ¢ 


RPR2.5G 


700M 
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1. 节点 RouterC、RouterD 分 别 以 700Mbitys 的 速度 向 节点 
RouterE 发 送 数据 。RouterC、Router 昌 发 出 的 数据 在 C-E 段 共享 
带宽 ，D-E 段 链 路 消耗 的 带宽 为 1.4Gbps， 无 拥塞 。 
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RPR 环 的 公平 算法 〈 续 ) 


如 图 所 示 ，B 增 加 700M 后 ，D-E 流 量 达 到 2.1G ， 仍 然 可 以 无 阻塞 转 

发 。 但 是 在 A 也 注入 700M 流 量 到 E 时 ， D-E 上 面 流量 拥塞 ，4*700M 
大 于 2.5G。 依 据 公 平 算法 D 节 点 立刻 将 本 地 节点 下 发 流量 降 为 400M ， 
然后 向 上 游 节 点 C 通过 Usage Message 消 息 传递 拥塞 信息 。 
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2. 节点 RouterB 也 以 700Mbit/s 的 速 麻 向 节点 RouterE 发 送 数据 。 
D-E 流 量 达到 2.1G ， 仍 然 可 以 无 阻塞 转发 。 

3. 节 点 RouterA 也 以 700Mbitys 的 速度 向 节点 RouterE 发 送 数据 。 
D-E 流 量 达到 2.8G， 超 过 RPR 链 路 带宽 极限 值 2.5Gbit/s ，D-E 段 
出 现 拥 塞 。 

4. 根据 公平 算法 ，RouterD 进 行 公平 计算 ， 立 即将 本 地 上 环 数据 
的 流量 降 为 400Mbitsss 同 时 通过 1 环 反 向 发 送 控制 帧 给 RouterC ， 
传递 拥塞 和 公平 算法 信息 。 
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RPR 环 的 公平 算法 〈 续 ) 


C 节 点 接收 到 D 节 点 的 拥塞 信息 后 ， 立 即 降低 下 发 的 流量 ， 随 着 C 节 
点 流量 的 降低 ，D 节 点 下 发 的 流量 会 有 所 增加 ; 依据 公平 算法 ，D 
节点 和 C 节 点 下 发 的 流量 变 为 550M ， 然 后 继续 向 上 游 节点 B 传 递 拥 
塞 信息 。 依 次 持续 ， 最 后 各 节点 均 发 送 625M ， 公 平 享有 带宽 。 


700M 


1 550M 
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5. 节点 RouterC 收 到 控制 帧 后 ， 立 即 降 供 未 地 上 环 数据 的 流量 。 
根据 公平 算法 计算 值 ，RouterD、 RouteérC 两 节点 的 上 环 数 据 流量 
都 调整 为 550Mbitls。 同 时 节点 RouterC 继 续 向 上 游 节 点 RouterB 传 
送 公平 算法 控制 巾 。 

6. 节点 RouterB 收 到 控制 帧 后 也 作 相 应 处 理 。 这 样 依次 下 来 ， 最 
后 RouterD、 RouterC、J4RouterB、RouterA 的 上 环 数据 流量 都 调 
整 为 625Mbit/s ， 平 均 亭 用 带宽 。 
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O 总 结 


本 课程 主要 介绍 了 以 下 内 容 : 
传统 的 环 网 技术 以 及 RPR 环 的 特点 
RPR 环 的 基本 概念 和 数据 操作 
RPR 环 的 倒 换 

RPR 环 的 拥塞 控制 方法 -- 公 平 算 法 
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© ñi 
系统 发 生 故 障 时 进行 主 备 倒 换 是 提供 系统 可 用 性 的 一 种 重要 
方式 。 主 备 倒 换 会 导致 数据 丢失 。 大 部 分 丢失 的 数据 可 通过 


HSB (Hot Standby) 提供 的 数据 平滑 过 程 恢复 ， 对 于 无 法 恢 X 
复 的 数据 ， 必 须 通过 GR (Graceful Restat) 功能 修复 。 
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音 训 | 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 掌握 NSF 技 术 的 基本 概念 
。 掌握 NSF 技 术 的 基本 原理 
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© F 


NSF 的 基本 概念 
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NSF 的 基本 概念 


NSF (None Stop Forwarding， 不 间断 转发 ) : 是 一 项 重要 的 高 可 
靠 性 技术 ， 它 可 以 保证 路 由 器 控制 层面 出 现 故 障 时 ， 数 据 转发 仍然 
正常 执行 ， 从 而 保护 网 络 上 关键 业务 不 受 影响 。 

通常 情况 下 ， 路 由 器 故障 后 ， 其 路 由 协议 层面 的 邻居 会 检测 到 它们 
之 间 的 邻居 关系 Down 掉 ， 然 后 过 段 时间 再 次 Up， 这 个 过 程 被 称 之 
为 邻居 关系 震荡 。 这 种 邻居 关系 的 震荡 将 最 终 导致 路 由 震 沪 的 出 现 ， 
使 得 重启 路 由 器 在 一 段 时 间 内 出 现 路 由 黑洞 或 者 导致 邻居 将 数据 业 
务 从 重启 路 由 器 处 旁 路 ， 从 而 导致 网 络 的 可 靠 性 大 大 降低 。 不 间断 
转发 技术 的 目标 就 是 为 了 解决 上 述 路 由 震荡 的 问题 
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对 于 主 控 板 的 元 余 备 份 ， 当 主 控 板 因为 硬件 或 软件 失效 出 现 故 障 
时 ， 备 用 主 控 板 接管 失效 主 控 板 的 工作 ” 重新 启动 控制 平面 、 管 
理 平面 、 以 及 各 业务 处 理 板 。 这 个 过 程 一 般 要 持续 几 分 钟 ， 期 间 
数据 报 文 无 法 处 理 。 

路 由 器 周边 的 其 他 路 由 器 通过 动态 路 由 协议 感知 到 网 络 节点 故障 ， 
重新 计算 路 由 。 当 失效 路 由 器 恢复 后 ， 路 由 及 各 种 信 令 协议 重新 
建立 联系 。 

以 上 变动 将 会 引发 网 络 的 路 由 振荡 。 
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OEE: 


NSF 的 基本 概 4 
NSF 技 术 对 系统 的 要 求 
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NSF 技 术 对 系统 的 要 求 


硬件 要 求 : 系统 双 主 控 见 余 配置 ， 当 主 用 主 控 板 重启 ， 备 用 
主 控 板 成 为 新 的 主板 ; 分 布 式 结构 ， 数 据 转发 和 控制 分 离 ， 
有 专门 的 线 卡 (接口 板 ) 用 于 数据 转发 。 

系统 软件 要 求 : 主板 正常 运行 的 过 程 中 ， 会 把 配置 信息 、 接 
口 状态 信息 备份 到 备用 板 ; 主 备 倒 换 的 时 候 ， 接 口 板 不 需要 
重启 ， 接 口 保持 Up， 接 口 板 转发 表 不 撤销 。 

协议 要 求 : 要 求 各 相关 网 络 协 议 如 路 由 协议 OSPF、|1S-IS、 
BGP 以 及 其 他 协议 如 LDP、RSVP 做 扩展 以 具备 ER 
(Graceful Restart， 优 雅 重启 ) 能 
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在 分 布 式 处 理 模 型 下 ， 路 由 器 主要 由 定 控 板 和 接口 板 组 成 ， 主 控 
板 负责 路 由 器 的 控制 平面 和 管理 平面 一 例如 路 由 学 习 、 路 由 计算 、 
建立 MPLS LSP 等 工作 ; 接口 板 负 责 具 体 业 务 处 理 ， 如 IP 报 文 转 
发 ，MPLS 标 签 交 换 ，QoS 保 证 等 工作 。 

高 端 路 由 器 的 特点 是 主 控 板 具有 部 余 备份 机 制 ， 即 双 主 控 板 设计 : 
其 中 一 块 是 主 用 主 控 板 CAMB) ， 处 于 工作 状态 ， 另 一 块 称 作 备 
用 主 控 板 (SMB) ，* 处 于 备份 状态 。 主 用 主 控 板 运行 过 程 中 ， 将 
所 有 静态 配置 信息 和 一 部 分 动态 信息 备份 到 备用 主 控 板 ， 使 得 备 
用 主 控 板 具有 和 主 用 主 控 板 相同 的 配置 信息 。 当 主 用 主 控 板 因为 
硬件 或 软件 失效 出 现 故 障 时 ， 备 用 主 控 板 接 管 失效 的 主 用 主 控 板 
的 工作 ， 重 新 启动 控制 平面 和 管理 平面 工作 。 

系统 具备 控制 与 转发 分 离 的 分 布 式 结构 ， 所 以 主 备 倒 换 过 程 中 接 
口 板 不 会 重 羽 ， 接 口 板 上 的 转发 表 被 保留 ， 可 以 继续 业务 转发 。 
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OEE: 


NSF 的 直 
NSF# 
元 余 备 份 技术 
HSB# 
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抑 余 备份 技术 


对 系统 中 关键 组 件 进行 见 余 备 份 是 提供 系统 容错 能 力 的 主要 方法 。 

见 余 备份 方式 有 1+1 备 份 和 n+1 备 份 。 

1+1 备 份 方式 : 两 个 组 件 必须 互 为 镜像 (mirror) 。 当 主 用 组 件 发 生 
故障 时 ， 备 用 组 件 可 以 立即 接管 当前 任务 ， 从 而 保证 系统 业务 不 申 
断 。 

n+1 备 份 方式 : 系统 通过 n 个 相似 的 组 件 来 提供 某 项 服务 ， 由 另外 地 
个 组 件 作为 这 n 个 组 件 的 备份 。 当 n 个 中 的 某 一 个 组 件 发 生 故 障 时 ， 

备份 组 件 接管 故障 组 件 的 任务 ， 业 务 仍然 可 以 继续 进行 。 

元 余 备 份 是 系统 进行 主 备 倒 换 的 前 提 条 件 。 
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目前 华为 路 由 器 提供 的 硬件 备份 功能 如 FT 
。 交换 网 板 之 间 形 成 1+1 或 者 nk4 备 份 
。 各 主 控 板 (简称 为 主板 ) 之 间 形 成 1+1 备 份 
。 各 业务 处 理 板 之 间 形 成 1+14 徐 份 或 n+1 备 份 
。 各 电源 之 间 形 成 1+1 或 者 n+1 备 份 
。 各 制冷 风扇 之 间 形 成 Nt1 备 份 
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HSB 技 术 


HSB 相 关 部 件 和 术语 如 下 : 

AMB (Active Main Board) : 主 用 主板 。 

SMB (Standby Main Board) : 备用 主板 。 Xx 
HA Channel: 主 用 主板 与 备用 主板 之 间 进 行 通 信 的 通道 。 

Switchover: 主 备 板 切换 ， 即 由 管理 员 或 严重 故障 触发 引起 的 主板 
切换 动作 。 在 此 过 程 中 ， 原 主 用 主板 会 被 复位 而 变 成 备用 主板 % 


Smooth: 数据 平滑 过 程 ， 即 当 备 用 主板 切换 成 主 用 主板 后 ;新 主 用 
主板 上 不 同 模 块 之 间 的 数据 可 能 不 一 致 ， 此 时 需要 进行 数据 同步 操 
作 使 其 一 致 。 
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可 以 进行 手工 切换 主 用 主板 ， 华 为 交换 设备 主 备 倒 换 命令 : 


[Quidway] slave switchover 
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HSB 技 术 《〈 续 ) 


HSB (Hot Standby) 是 提供 热 备份 的 一 个 关键 技术 。HSB 的 功能 
是 将 系统 的 静态 和 动态 配置 信息 从 AMB 备 份 到 SMB。 

当 系 统 重启 时 ， 主 用 主板 AMB 将 其 静态 配置 信息 备份 到 备用 主板 
SMB 上 ， 在 系统 正常 运行 时 ，AMB 上 的 任何 数据 变化 (包括 静态 和 
动态 的 数据 变化 ) 都 会 备份 到 SMB。 备 用 主板 SMB 切 换 成 主 用 训 板 
AMB 后 进入 平滑 运行 阶段 。 切 换 后 ， 主 用 主板 AMB 上 的 所 有 数据 都 
已 备份 ， 因 此 ， 该 系统 与 其 它 设备 间 的 会 话 不 受 影响 ， 其 安 设备 也 
不 会 察觉 该 CX 设 备 的 切换 。 
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在 系统 正常 运行 时 ，AMB 可 将 路 由 信息 从 数据 层面 下 载 到 接口 板 ， 
SMB 却 不 能 、 也 无 法 从 接口 板 接收 任何 信息 。 
主 备用 主 控 板 之 间 备 份 的 信息 : 

。 同步 配置 更 改 


e TCP 连 接 
。 接口 状态 信息 
。 各 种 事件 


。 路 由 /mpls 协 议 状态 
主 备用 主 控 板 之 间 定 期 进行 心跳 检测 。 
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GR 技 术 概 述 


IETF 针 对 IP/MPLS 转 发 相关 的 协议 (如 OSPF、IS-IS、BGP、LDP 
和 RSVP) 进行 扩展 ， 实 现 协 议 重启 时 转发 不 中 断 的 功能 ， 使 系统 
进行 主 备 倒 换 时 控制 层 协 议 的 震荡 在 一 定 程度 上 得 到 限制 。 这 一 系 
列 标准 统称 为 各 个 协议 的 Graceful Restart 扩 展 ， 简 称 GR。GR 目 前 
已 经 被 广泛 的 使 用 在 主 备 倒 换 和 系统 升级 方面 。 

系统 能 够 进行 GR 的 前 提 条 件 是 转发 和 控制 分 离 ， 即 设备 有 主 控 板 和 
接口 板 ， 接 口 板 处 理 转发 任务 。 当 系统 进行 协议 重启 或 者 万 备 倒 换 
时 ， 不 复位 接口 板 ， 接 口 板 继续 转发 数据 ， 从 而 实现 整个 系统 不 间 
断 地 转发 报 文 。 

由 此 可 以 看 出 ， 系 统 实现 不 间断 转发 的 必要 条 件 是 在 GR Timely ia) 
内 网 络 拓 扑 和 接口 状态 不 发 生变 化 ， 否 则 系统 将 退出 GR 过 程 ， 转 
发 也 将 中 断 。 


x 
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目前 ， 各 种 路 由 协议 只 运行 于 路 由 器 宣 控 板 上 ， 在 备 板 上 并 不 运 


行 ， 当 主 备 倒 换 发 生 后 ， 备 板 上 开始 运行 路 由 协议 。 
路 由 协议 支持 GR 能 力 ， 需 要 完成 下 面 两 项 任务 : 
。 邻居 路 由 器 与 重启 路 由 器 的 邻居 关系 避免 在 重启 的 时 候 震 荡 


(flap) ; 
。 重启 后 ， 重 启 路 由 器 尽快 完成 与 邻居 路 由 器 的 路 由 信息 的 同步 ， 
然后 更 新 本 地 路 由 信息 。 


目前 具备 GR 能 力 的 路 由 协议 主要 有 IS-IS、OSPF、BGP。 
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GR 技术 基本 概念 


角色 : 

GR Restarter: GR 重启 设备 ， 指 路 由 协议 使 能 了 GR 能 力 ， 能 够 在 
主 备 倒 换 的 时 候 通 知 邻 居 ， 请 求 邻居 保持 与 自己 的 邻接 关系 。 X 
GR Helper: GR Restarter 的 邻居 ， 至 少 能 够 识别 GR 信 令 ， 在 GR 
Restarter 进 行 主 备 倒 换 时 保持 和 GR Restarter 的 邻接 关系 不 变 , Ah 
助 GR Restarter 进 行 网 络 拓扑 关系 的 恢复 。 

会 话 和 定时 器 : 

GR Session: 有 GR 能 力 的 会 话 ， 是 GR Restarter 和 GR Helper 之 间 
通过 GR 能 力 协商 建立 的 会 话 关系 。 

GR Time: 是 GR Helper 发 现 GR Restarter Downs, (RFR HES 
不 删除 的 时 间 ， 可 以 看 作 从 GR 过 程 开始 到 结束 这 一 段 时 间 。 
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GR Restarter 与 GR Helper 的 作用 是 相 吾 的 。 在 GR Helper 使 能 
GR 能 力 的 情况 下 ，GR Restarter 与 GRHelper 的 位 置 和 作用 可 以 
互 换 。 
各 协议 GR 实现 机 制 不 一 致 ,NGR Time 也 不 一 致 : 

。 OSPF 缺 省 情况 下 ， 重 启 的 时 间 为 120 秒 。 

。 1S-IS 缺 省 情况 下 ， 重 启 的 时 间 为 300 秒 。 

。 BGP 缺 省 情况 下 ,重启 的 时 间 为 150 秒 。 

e MPLS LDP 缺 省 情况 下 ， 会 话 重 连接 定时 器 的 值 为 300 秒 。 
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GR 的 工作 过 程 


Restarter 和 GR Helper 之 间 进 行 GR 能 力 协商 ， 建 立会 话 ， 如 下 图 
所 示 ，A 作 为 GR Restarter，B、C 和 D 分 别 是 A 的 GR Helper 邻 居 ， 
在 GR Restarter 和 GR Helper 之 间 建 立 起 有 GR 能 力 的 会 话 K 


CX GR Helper 


I GR Restarter 


GR Helper GR Helper 


<----- > 
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前 提 条 件 : 
。 路 由 器 配置 有 双 主 控 ， 转 发 和 控制 芬 镶 。 
。 路 由 协议 已 经 达到 正常 状态 
。 要 求 各 相关 网 络 协议 (如 路 由 协议 OSPF、IS-IS、BGP， 其 他 协 
议 如 LDP、RSVP 做 扩展 ) , 届 备 优雅 重启 (GR) 能 
。 配置 好 GR。 
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GR 的 工作 过 程 〈 续 ) 


GR Helper 发 现 GR Restarter 故 障 ， 继 续 保 持 和 GR Restarter 的 邻接 
关系 ， 在 GR Time 超 时 之 前 ， 仍 保留 与 GR Restarter 相 关 的 路 由 


xX 


5 CX GR Helper 
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以 下 为 针对 链 路 状态 算法 ， 以 IS-IS Ahi: 

路 由 器 发 生 主 备 倒 换 后 ， 由 于 没有 保存 任何 重启 前 邻居 信息 ， 

此 一 开始 发 送 的 Hello 报 文中 不 包含 邻居 列表 ， 此 时 邻居 路 由 器 收 

到 后 ， 执 行 双向 邻居 关系 检查 ， 发 现在 重启 路 由 器 的 Hello 报 文 的 

邻居 列表 中 没有 自己 ， 这 样 邻 居 关 系 将 会 断 掉 ， 同 时 通过 生成 新 

的 LSP 报 文 ， 将 拓扑 变 优 ( 卜 入 演 洪 给 区 域内 的 其 他 路 由 器 。 这 

样 区 域内 路 由 器 基于 新 的 链 路 状态 数据 库 进行 路 由 计算 ， 从 而 造 

成 路 由 中 断 或 者 路 由 旁 路 。 

由 于 没有 保存 重启 前 的 任何 链 路 状态 信息 (LSDB) ， 重 启 路 由 器 

在 主 备 倒 换 后 需要 快速 和 邻居 间 同 步 链 路 状态 信息 。 

为 此 ，1S-IS 为 了 支持 GR 能 力 ， 需 要 完成 下 面 两 项 任务 : 

e 1) GR:Capable 路 由 器 重启 期 间 ， 要 避免 邻居 路 由 器 针对 重启 路 

由 器 的 邻居 关系 的 震荡 ， 即 GR-Helper 对 于 重启 前 就 处 于 Up 状态 
的 重启 路 由 器 邻居 关系 ， 在 GR 期 间 ， 仍 然 保 持 处 于 Up 状态 。 为 
了 实现 这 个 功能 ，1S-IS 在 Hello 报 文中 新 增加 了 一 个 新 的 TLV 211。 
TLV211 中 主要 包含 RR bit, RA bit。 当 RR Bit 被 设置 ， 表 示 该 路 由 
器 刚刚 发 生 了 优雅 重启 (GR) ， 当 RA bit = 1 表示 是 对 重启 路 由 
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器 的 应 答 。 另 外 TLV211 中 还 包含 一 个 Remaining time Ff, ES 

居 路 由 器 在 应 答 Hello 报 文中 携带 的 ， 表 示 邻 居 能 容忍 的 重启 路 由 

器 重启 所 要 消耗 的 最 大 时 间 。 

2) 在 邻居 关系 保持 的 基础 上 ， 重 启发 生 后 ， 新 的 主板 上 的 IS-IS 

需要 尽快 同 各 个 具备 GR-Aware 能 力 的 邻居 同步 链 路 状态 数据 库 。 

具备 GR-Aware 能 力 的 邻居 路 由 器 在 收 到 重启 路 由 器 的 GR 请 求 后 光 
需要 向 重启 路 由 器 同步 它 所 具备 的 链 路 状态 数据 库 ， 具 体 做 法 是 3 

将 所 有 的 LSP 都 打上 向 重启 路 由 器 发 送 标志 ; 向 重启 路 由 器 发 送 

完全 数据 库 列表 CSNP 报 文 。 
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GR 的 工作 过 程 〈 续 ) 


Restarter 备 板 启动 ， 向 邻居 GR Helper 发 送信 号 ， 重 新 建立 会 话 。 


GR Helper 


» GR Restarter 


GR Helper 
建立 GR Session 会 话 的 信号 
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IS-IS GR 过 程 描述 : 

。 1、CX-A 路 由 器 重启 前 ， 使 能 IS-IS 的 GR 能 力 ， 这 时 候 IS-IS 发 出 
的 Hello 报 文中 携带 TLV2114 但 是 RR bit 和 RA bit 都 被 置 为 0。 

。 2、CX-A 路 由 器 重启 ， 发 生 主 备 倒 换 。 接 口 板 不 重启 ， 接 口 板 上 
转发 表 的 路 由 被 打上 老化 标志 ， 但 是 仍然 继续 正常 指导 转发 。 

。 3、CX-A 原 来 的 备 板 成 为 新 的 主板 。IS-IS 协 议 重 新 启动 ， 从 系统 
得 知 这 是 一 次 主 备 倒 换 后 的 重启 ， 并 且 如 果 IS-IS 提 前 配置 了 GR 能 
力 的 话 ， 则 启动 Tis 2，T3 定 时 器 。 

。 4、 连接 CX-B 的 接 日 的 T1 定 时 器 超时 触发 ，CX-A 向 CX-B 发 送 一 
个 包含 TLV 2141 的 Hello 报 文 ， 其 中 RR bit = 1, RA bit = 0， 通 知 邻 
居 该 路 由 器 刚刚 发 生 了 重启 。 

。 5、 具 备 GR-Aware 能 力 的 CX-B 收 到 了 R1 表 达 重 启 的 Hello 消 息 后 ， 
发 送 同样 包含 TLV211 的 Hello 报 文 做 应 答 ， 其 中 RR bit = 0, RA bit 
= 和 1， 表 示 响 应 R1 的 GR 重启 要 求 。 同 时 将 TLV 211 中 的 
Remaining Time 字 段 填充 为 本 系统 Hold Time 时 间 。 

。 6\、 如 果 CX-A 和 CX-B 之 间 是 P2P 连 接 ; 或 者 如 果 是 广播 网 且 CX-B 
的 ,System id 是 该 广播 网 上 最 大 的 (除了 CX-A) ， 则 向 CX-A 发 送 
CSNP 消 息 。CSNP 报 文 是 CX-B 用 来 向 CX-A 同 步 链 路 状态 数据 库 
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(LSDB) 用 的 ， 里 面包 含 了 CX-B 完 整 的 链 路 状态 摘要 信息 列表 。 
同时 ，CX-B 将 所 有 的 LSP 设 上 SRM 标 志 ， 等 待定 时 器 调度 ， 向 
CX-A 发 送 。 
7、CX-A 收 到 CX-B 合 RA Bit = 1 的 Hello 应 答 ， 并 且 收 到 邻居 发 送 
来 的 CSNP 消 息 后 ， 则 T1 定 时 器 被 删除 。 否 则 ，T1 定 时 器 触发 继 
续 向 CX-A 发 送 RR bit = 0, RA bit = 1 的 Hello 报 文 ， 发 送 n 次 后 ， X 
T1 被 删除 。 

8、 如 果 CX-A 同 步 到 了 所 有 GR-Aware 邻 居 的 LSDB (通过 检查 记 
录 的 邻居 发 来 的 CSNP 链 路 状态 摘要 信息 列表 最 后 是 否 被 清空 判 
断 得 知 ) ， 那 么 T2 ，T3 定 时 器 都 被 删除 ， 执 行 10。 注 意 ， 在 此 之 
前 ，CX-A 可 以 生成 自己 的 LSP， 但 是 不 能 发 送出 去 ， 收 到 邻居 发 
来 的 自己 产生 的 LSP 也 不 能 清除 (Purge) ， 也 不 能 进行 路 由 计算 ， 
原因 在 于 基于 没有 完全 同步 的 LSDB 的 计算 可 能 导致 路 由 错误 或 
者 丢失 。 如 果 T2 定 时 器 超时 ， 执 行 10。 

9、T3 定 时 器 被 触发 ， 表 明 R1 没 有 在 GRsAware 邻 居 人 允许 的 时 间 内 
完成 LSDB 同 步 ， 那 么 将 在 自己 生成 的 \LSP 中 设置 Overload bit 后 ， 
发 送 给 邻居 。 

10、 调 度 路 由 计算 ， 路 由 计算 结束 后 沁 更 新 接口 板 转 发 表 ; 清除 
掉 重 启 过 程 中 可 能 收 到 的 非法 的 LSP， 将 自己 生成 的 LSP 泛 洪 出 
去 ; 1S-IS 协 议 恢 复 正 常 流程 
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GR 的 工作 过 程 〈 续 ) 


GR Restarter 从 邻居 获取 拓扑 和 路 由 信息 后 ， 重 新 计算 路 由 表 ， 并 
老化 旧 路 由 。 


至 此 ，GR Restarter 完 成 主 备 切换 过 程 ， 并 且 在 主 备 倒 换 期 间 转发 
不 中 断 。 


GR Helper 


GR Helper GR Helper 


> GR restarter 从 邻居 获取 拓扑 或 路 由 信息 
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支持 GR 的 协议 


目前 VRP 支 持 GR 能 力 的 协议 有 : 

MPLS LDP 

OSPF (IPv4) 

IS-IS_(IPv4/IPv6) 

BGP (IPv4/IPv6/VPNv4) 以 及 带 标 签 路 由 BGP 
RSVP 
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路 由 协议 OQSPF、IS-IS、BGP， 其 他 协议 如 LDP、RSVP 都 做 了 扩 
展 ， 以 支持 优雅 重启 (GR) 能 
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O 总 结 


本 课程 主要 介绍 以 下 内 容 : 
NSF 的 基本 概念 和 对 系统 的 要 求 
见 余 备份 技术 、HSB 技 术 、GR 技 术 以 及 支持 GR 的 协议 
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快速 检测 技术 





ES 
© 
N 
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ñi = 


为 了 减 小 设备 故障 对 业务 的 影响 ， 提 高 网 络 的 可 用 性 ， 网 络 
设备 需要 能 够 尽快 检测 到 与 相 邻 设备 间 的 通信 故障 ， 以 便 及 
时 采取 措施 ， 保 证 业务 继续 进行 。 K 
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网 络 设备 一 个 越 来 越 重 要 的 趋势 是 , 要求 对 相 邻 系统 之 间 通 信 故 
障 进 行 快 速 检测 ， 这 样 在 出 现 故 障 时 可 以 更 快 的 建立 起 替代 通道 
或 倒 换 到 其 他 链 路 。 
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=i) iE 


学 完 本 课程 后 ， 您 应 该 能 : 
。 快速 检测 技术 的 基本 概念 
。 快速 检测 技术 的 基本 原理 和 应 用 
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OEE: 


故障 检测 的 主要 方法 
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故障 检测 的 主要 方法 


现 有 的 故障 检测 方法 主要 包括 : 

硬件 检测 : 例如 通过 SDH 告警 检测 链 路 故障 。 硬 件 检测 的 优点 是 可 

以 很 快 发 现 故障 ， 但 并 不 是 所 有 介质 都 能 提供 硬件 检测 。 X 
慢 Hello 机 制 : 通常 是 指 路 由 协议 的 Hello 机 制 。 这 种 机 制 检测 到 故 

障 所 需 时 间 为 秒 级 。 对 于 高 速 数据 传输 ， 例 如 吉 比 特 速率 级 ， 超 过 

1 秒 的 检测 时 间 将 导致 大 量 数据 丢失 ; 对 于 时 延 敏感 的 业务 , ,例如 

语音 业务 ， 超 过 1 秒 的 延迟 也 是 不 能 接受 的 。 并 且 ， 这 种 机 制 依 赖 

于 路 由 协议 。 

其 他 检测 机 制 : 不 同 的 协议 或 设备 制造 商 有 时 会 提供 专用 的 检测 机 

制 ， 但 在 系统 间 互 联 互 通 时 ， 这 样 的 专用 检测 机 制 通 常 难以 部 署 。 
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很 多 硬件 或 者 软件 无 法 提供 硬件 检测 功能 4 比如 以 太 网 。 还 有 一 
些 无 法 实现 路 径 检测 ， 比 如 转发 引擎 翅 者 接口 等 ， 无 法 实现 端 到 
端的 检测 。 

慢 Hello 机 制 : 对 于 不 允许 路 望 协议 的 节点 没有 办 法 检测 链 路 的 状 
PAN 


用 慢 Hello 机 制 ， 尤 其 在 路 由 协议 中 ， 在 没有 硬件 帮助 下 ， 检 测 时 
间 会 很 长 (例如 : OSRFE 需 要 2 秒 的 检测 时 间 ，ISIS 需 要 1 秒 的 检测 
时 间 ) 。 
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Oa F 


Ay ey 
故障 检测 的 分 类 
BFD 技 和 
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故障 检测 的 分 类 


故障 检测 技术 按 使 用 限制 分 专用 检测 技术 和 通用 检测 技术 : 

专用 的 故障 检测 技术 有 : P 
e. APS (传输 层 ) 
e RPR OAM, Eth-OAM ($E) 
e MPLS OAM (MPLS) 

通用 故障 检测 技术 包括 : BFD， 可 检测 各 个 层面 的 故障 % 
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自动 保护 倒 换 APS : 
。 基于 底层 光 网 络 的 方案 ， 如 利用 SDH 的 APS 功 能 ， 利 用 WDM 
的 波长 保护 功能 。 利 用 自动 保护 倒 换 机 制 (APS) 网 络 ， 可 以 
在 检测 到 一 条 路 径 故 障 之 后 自动 将 业务 流 倒 换 到 另 一 条 路 径 上 。 
APS 具 体 实 现 可 以 采用 1#1，1:1， 或 1.N 保 护 方式 。 
MPLS OAM 技 术 为 MPLS 网 络 提供 了 一 套 缺 陷 检测 的 工具 及 缺陷 
纠正 机 制 ， 通 过 MPLSLOAM 有 保护 倒 换 构件 可 以 完成 CR-LSP 转 
发 平面 的 检测 功能 sh 并 在 缺陷 发 生 后 的 50ms 内 完成 保护 倒 换 ， 从 
而 将 缺陷 所 产生 的 影响 碱 小 到 最 低 。 
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故障 检测 的 分 类 ( 续 ) 


以 TCP/IP 网 络 参 考 模型 作为 层次 性 划分 ， 每 个 层面 都 有 故障 
令 测 机 制 |: 

传输 层 / 物 理 层 : APS 

链 路 层 : RPR OAM、MPLS OAM、Eth-OAM、 
STP/RSTP/MSTP/RRPP 


网 络 层 : 各 协议 的 HELLO 机 制 、BFD、VRRP、GR 
应 用 层 : 各 种 应 用 层 协 议 本 身 的 心跳 、 重 传 机 制 


xX 
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传输 层 TCP 的 故障 检测 机 制 : ERIE aa) a AE o 
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故障 检测 的 分 类 ( 续 ) 


以 网 络 故 障 检测 的 模式 划分 ， 有 以 下 3 种 模式 : 

异步 模式 : 周期 性 发 送 探测 报 文 

查询 模式 : 发 一 系列 报 文 请 求 确认 

回声 模式 : 将 对 端 发 送 过 来 的 报 文 不 作 任何 改动 反射 回去 
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异步 模式 : 系统 之 间 相 互 周期 性 地 发 送 BFB 控 制 包 ， 如 果 某 个 系统 在 检 
测 时 间 内 没有 收 到 对 端 发 来 的 BFD 控 制 报 交 ， 就 宣布 会 话 为 Down。 
查询 模式 : ， 假 定 每 个 系统 都 有 一个 独立 的 方法 用 来 确认 它 连 接 到 其 他 
系统 。 这 样 一 旦 一 个 会 话 建 立 起 来 以 后 ， 系 统 停止 发 送 控制 报 文 ， 除 非 
某 个 系统 需要 显 式 地 验证 连接 性 ,在 需要 显 式 验 证 连接 性 的 情况 下 ， 系 
统 发 送 一 个 短 系 列 的 控制 包 守 如 果 在 检测 时 间 内 没有 收 到 返回 的 报 文 就 
宣布 会 话 为 Down ， 如 果 收 到 对 端的 回应 报 文 ， 协 议 再 次 保持 沉默 。 
回声 功能 : 本 地 发 送 广 系列 回声 报 文 ， 远 端 系统 通过 它 的 转发 通道 将 它 
们 环 回回 来 。 如 果 本 地 系统 连续 几 个 回声 报 文 都 没有 接收 到 ， 会 话 就 被 
宣布 为 Down。 回 声 功能 可 以 和 上 述 两 种 检测 模式 一 起 使 用 ， 可 以 使 用 
回声 功能 来 伐 蔡 控制 报 文 的 检测 的 任务 ， 这 样 可 以 降低 控制 报 文 的 发 送 
周期 (异步 模式 下 ) 或 者 完全 取消 控制 报 文 (查询 模式 下 ) o 

异步 模式 和 查询 模式 的 本 质 区 别 在 于 检测 的 位 置 不 同 ， 异 步 模式 下 本 端 
按 一 定 的 发 送 周期 发 送 控制 报 文 ， 需 要 在 远 端 检测 本 端 系统 发 送 的 控制 
报 文 入 而 在 查询 模式 下 检测 本 端 发 送 的 控制 报 文 是 在 本 端 系统 进行 的 。 
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BFD 技 术 概 述 


双向 转发 检测 BFD (Bidirectional Forwarding Detection) 是 一 套 全 
网 统一 的 检测 机 制 ， 用 于 快速 检测 、 监 控 网 络 中 链 路 或 者 IP 路 由 的 
转发 连通 状况 。 为 改善 网 络 性 能 ， 相 邻 系统 之 问 应 能 快速 检测 到 通 X 
信 故 障 ， 更 快 地 建立 起 备用 通道 恢复 通信 。 
BFD 提 供 如 下 功能 

。 对 相 邻 转发 引擎 之 间 的 通道 故障 提供 轻 负 荷 、 短 持续 时 间 的 检测 

。 用 单一 的 机 制 对 任何 介质 、 任 何 协 议 层 进行 实时 检测 ， 并 支持 共同 的 

检测 时 间 与 开销 。 
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BFD 是 一 个 简单 的 “Hello 协议 ， 在 很 多 方面 ， 它 与 那些 著名 的 路 
由 协议 的 邻居 检测 部 分 相似 。 一 对 系统 在 它们 之 间 的 所 建立 会 话 
的 通道 上 周期 性 的 发 送 检 测报 交 ， 如 果 某 个 系统 在 足够 长 的 时 间 
内 没有 收 到 对 端的 检测 报 文 入 则 认为 在 到 相 邻 系统 的 双向 通道 的 
某 个 部 分 发 生 了 故障 。 在 某 些 条 件 下 ， 为 了 减少 负荷 ， 系 统 之 间 
的 发 送 和 接收 速率 需要 协商 

BFD( 双 向 转发 检测 ) 是 气 套用 来 实现 快速 检测 的 国际 标准 协议 ， 提 
供 一 种 轻 负 和 荷 、 持 续 时 间 短 的 检测 。 与 以 往 的 其 他 ”HELLO 检测 
机 制 相 比 ， 具 有 许多 独到 的 优势 。 

BFD 能 够 在 系统 之 间 的 任何 类 型 通道 上 进行 故障 检测 ， 这 些 通道 
包括 直接 的 物理 链 路 ， 虚 电路 ， 障 道 ，MPLS LSP， 多 跳 路 由 通 
道 ， 以 及 非 直接 的 通道 。 

BFD 通 过 在 双向 链 路 两 端 同时 发 送 检 测报 文 ， 检 测 两 个 方向 上 的 
链 路 状态 ， 实 现 毫秒 级 别 的 链 路 故障 检测 。 

双 回 链 路 的 一 种 特殊 情况 是 单 向 链 路 ， 例 如 LSP， 这 时 只 需 在 一 
NAA AIA BFD 控 制 报 文 ， 对 端 通过 其 他 路 径 报 告 链 路 状况 。 
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BFD for IP 技 术 


在 IP 链 路 上 建立 BFD 会 话 ， 利 用 BFD 检 测 机 制 快 速 检 测 故 障 。 
BFD for IP 支 持 单 跳 检 测 和 多 跳 检 测 : 

BFD 单 跳 检测 是 指 对 两 个 直 连 系统 进行 IP 连 通 性 检测 ， 这 里 
所 说 的 “ 单 跳 ” 是 IP 的 一 跳 。 在 进行 BFD 单 跳 检测 的 两 个 系 
统 中 ， 对 于 一 种 给 定 的 数据 协议 ， 在 指定 接口 上 只 存在 ss 仿 
BFD 会 话 。 

BFD 多 跳 检 测 是 指 BFD 可 以 检测 两 个 系统 间 的 任意 路 径 ， 这 
些 路 径 可 能 跨越 很 多 跳 ， 也 可 能 在 某 些 部 分 发 生 重 者 。 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page11 w HUAWEI 


EADS KAAKA AR LN, (Spoofing) 攻击 。 
发 送 BFD 控 制 报 文 时 ， 携 带 的 L 或 跳 数值 必须 是 255。 如 果 收 
到 TTL 不 是 255 的 BFD 控 制 报 文 ， 六 须 将 这 些 报 文 丢 弃 。 

在 多 跳 检 测 中 ， 封 装 BFD 控 制 报关 的 UDP 报 文 的 目的 端口 号 是 
3784， 源 端口 号 取 值 范围 是 49?52 一 65535。 

最 新 的 BFD 草 案 中 ， 多 跳 检测 的 UDP 目的 端口 号 是 4784。 
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BFD for 1IP 技 术 〈 续 ) 


如 下 图 所 示 ， BFD 单 跳 检 测 是 指 对 两 个 直 连 系统 进行 IP 连 通 
性 检测 ， 这 里 所 说 的 “ 单 跳 ”是 IP 的 一 跳 。 在 进行 BFD 单 跳 
令 测 的 两 个 系统 中 ， 对 于 一 种 给 定 的 数据 协议 ， 在 指定 接口 
上 只 存在 一 个 BFD 会 话 。 因 此 ，BFD 会 话 是 与 接口 绑 定 的 ， 

接口 类 型 包括 物理 接口 、 虚 电路 以 及 隧道 。 


BFD session 





- 
POS1/0/0 POS1/0/0 


a 10.1.1.1/25 10.1.1.2/25 tes 


A B 


-= 





BFD sessio 
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BFD 的 检测 机 制 是 两 个 系统 建立 BFD 会 话 ， 并 沿 它们 之 间 的 路 径 
周期 性 发 送 BFD 控 制 报 文 ， 如 果 一 方 在 既定 的 时 间 内 没有 收 到 
BFD 控 制 报 文 ， 则 认为 路 径 上 发 生 故障。 

双向 链 路 的 一 种 特殊 情况 是 单 向 链 路 ， 例 如 LSP， 这 时 只 需 在 一 
个 方向 发 送 BFD HIR o 对 端 通过 其 他 路 径 报 告 链 路 状况 。 
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BFD for IP 技 术 ( 续 ) 
如 下 图 所 示 ， BFD 可 以 检测 两 个 系统 间 的 任意 路 径 ， 这 些 路 


径 可 能 跨越 很 多 跳 ， 也 可 能 在 某 些 部 分 发 生 重 又 。 多 跳 BFD 
会 话 绑 定 对 端 IP 但 不 绑 定 出 接口 。 


BFD session 





- 


POS1/0/0 POS1/0/0 POS2/0/0 POS2/0/0 
10.1.1.1/24 — 10.1.1.2/24 10.2.1.1/24 — 10.2.1.2/24 





BFD session 
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BFD 封 装 在 UDP 中 。 在 路 由 器 B 上 要 对 BED 报 文 进行 解 封 装 、 封 
装 、 路 由 等 操作 ， 与 普通 数据 包 的 转发 “ 样 。 
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BFD for USR 技 术 


BFD for USR (Unicast Static Route) 用 于 支持 IPv4 单 播 静态 路 由 ， 
支持 IPv4 单 播 静态 路 由 绑 定 后 快速 感知 链 路 状态 。 

与 动态 路 由 协议 不 同 ， 单 播 静态 路 由 自身 没有 检测 机 制 ， 当 网 络 发 
生 故 障 的 时 候 ， 需 要 管理 员 介 入 。BFD for USR 特 性 可 为 公 网 IPv4 
单 播 静 态 路 由 绑 定 BFD 会 话 ， 利 用 BFD 会 话 来 检测 单 播 静 态 路 由 也 
在 链 路 的 状态 。 

BFD for USR 可 为 每 条 IPv4 单 播 静态 路 由 绑 定 一 个 BFD 会 话 扩 涯 这 
条 USR 上 绑 定 的 BFD 会 话 检 测 到 链 路 故障 (由 Up 转 为 Dowmw 后 ， 

BFD 会 将 故障 上 报 路 由 管理 系统 ， 由 路 由 管理 模块 将 这 条 路 由 设置 
为 “ 非 激活 ”状态 〈 此 条 路 由 不 可 用 ， 从 IP 路 由 表 中 删除 六 。 

当 这 条 USR 上 绑 定 的 BFD 会 话 成 功 建立 或 者 从 故障 状态 恢复 后 (由 
Down 转 为 Up) ，BFD 会 上 报 路 由 管理 模块 重新 激活 。 
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使 用 静态 路 由 Track 静态 BFD 会 话 的 功能 可 以 实现 故障 检测 和 路 由 
快速 收敛 。 将 两 个 节点 之 间 的 静态 路 由 与 BFD 会 话 绑 定 ， 当 BFD 
仿 测 到 故障 时 ， 可 以 促使 静态 路 由 快速 失效 ， 以 减少 对 上 层 业 务 
的 影响 。 
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BFD for IGP 技 术 


通常 情况 下 ，IGP 设 定 发 送 Hello 报 文 的 时 间 间 隅 为 十 几 秒 钟 ， 

邻 届 Down 的 时 间 即 相 邻 设备 失效 的 时 间 一 ORR Mellott. Cia 
的 3-4 倍 。 通 过 调整 Hello 报 文 间隔 ， 设 备 能 感知 到 邻居 故障 的 时 间 
最 小 也 是 秒 级 。 在 高 速 的 网 络 环境 中 ， 这 将 导致 报 文 大 量 丢 失 。 
BFD forIGP 是 指 BFD 会 话 由 IGP 协 议 动态 创建 ， 不 再 依靠 手工 配置 
当 BFD 检 测 到 故障 时 ， 通 过 路 由 管理 通知 IGP 协 议 ， 由 协议 进行 相 
应 邻居 Down 处 理 ， 快 速 更 新 路 由 信息 和 进行 增 量 路 由 计算 gs 类 而 
实现 路 由 的 快速 收敛 。 
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BFD 使 用 本 地 标识 符 (Local Discriminator) 和 远 端 标识 符 
(Remote Discriminator) 区 分 同一 对 系统 之 间 的 多 个 BFD 会 话 。 
IS-IS 协 议 支持 动态 和 静态 方式 建立 BFD 会 话 ，OSPF 协 议 支 持 动 
态 建立 BFD 会 话 。 
路 由 协议 动态 触发 建立 BFD 会 话 的 实现 方式 是 : 

。 动态 分 配 本 地 标识 符 

。 自学 习 远 端 标 识 符 
当 路 由 协议 邻居 建立 成 功 时 ， 路 由 协议 通过 路 由 管理 模块 通知 
BFD 建 立会 话 ， 对 路 由 协议 的 邻居 关系 进行 快速 检测 。BFD 会 话 
的 检测 参数 由 路 由 协议 设置 。 
当 BFD 会 话 检 测 到 故障 时 ， 状 态 变 为 Down，BFD 通 过 路 由 管理 模 
块 触发 路 由 收敛 。 
当 邻 居 状 态 不 可 达 时 ， 路 由 协议 通过 路 由 管理 模块 通知 BFD 删 除 
相应 会 话 。 
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BFD for IGP 技 术 〈 续 ) 


如 图 所 示 ， 当 A 和 C 之 间 链 路 出 现 故障 ，BFD 首 先 感知 到 并 通知 A。 
A 处 理 邻 居 Down 事 件 ， 重 新 进行 路 由 计算 ， 新 的 路 由 出 接口 为 
POS2/0/0， 经 过 D 到 达 B。 K 
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BFD for 静 态 路 由 : 当 路 由 器 之 间 有 传输 设备 、 交 换 机 、 防 火 墙 等 

设备 时 ， 由 于 静态 路 由 自身 没有 检测 机 制 ， 无 法 感知 链 路 变化 ， 
不 能 动态 收敛 。 使 用 静态 路 由 开 ack 静 态 BFD 会 话 的 功能 可 以 实现 

故障 检测 和 路 由 快速 收敛 。 将 两 个 节点 之 间 的 静态 路 由 me 
话 绑 定 ， 当 BFD 检 测 到 故障 时 ,A 可 以 促使 静态 路 由 快速 失效 ， 

减少 对 上 层 业 务 的 影响 。 

BFD 能 够 为 IS-IS/OSRF 邻 居 之 间 的 链 路 提供 快速 检测 功能 ， 当 邻 

居 之 间 的 链 路 出 现 故 障 时 ， 加 快 IS-IS/OSPF 协 议 的 收敛 速度 。 

BFD for IS-IS 可 以 通过 静态 或 动态 方式 建立 BFD 会 话 。 

BFD for OSPF 可 以 通过 动态 方式 建立 BFD 会 话 。 
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BFD for BGP 技 术 


BGP 协 议 通 过 周期 性 的 向 对 等 体 发 送 Keepalive 报 文 来 实现 邻居 检测 
机 制 。 但 这 种 机 制 检测 到 故障 所 需 时 间 比 较 长 ， 超 过 1 秒 钟 。 当 数 

据 达到 吉 比 特 速率 级 别 时 ， 将 会 导致 大 量 的 数据 丢失 ， 从 而 无 法 满 以 
足 电 信 级 网 络 高 可 靠 性 的 需求 。 

因此 ，BGP 协 议 通过 引入 BFD for BGP 特 性 ， 利 用 BFD 的 快速 检测 

机 制 ， 迅 速 发 现 BGP 对 等 体 间 链 路 的 故障 ， 并 报告 给 BGP 协 议 AM 

而 实现 BGP 路 由 的 快速 收敛 。 
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BFD 能 够 为 BGP 邻 居 之 间 的 链 路 提供 快速 检测 功能 ， 当 邻居 之 间 
的 链 路 出 现 故 障 时 ， 加 快 BGP 协 议 的 收 人 速度。 
BGP 协 议 支 持 动态 建立 BFD 会 话 。 
路 由 协议 动态 触发 建立 BFD 会 话 的 实现 方式 是 : 
。 动态 分 配 本 地 标识 符 


。 EASTER 
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BFD for VRRP 技 术 


VRRP 设 定 发 送 心跳 报 文 的 时 间 间 隔 为 1 秒 钟 ， 宣 告 邻居 Down 的 时 
间 是 心跳 报 文 间隔 的 3 倍 。 设 备 能 感知 到 邻居 故障 的 时 间 最 小 也 是 
秒 级 。VRRP 通 过 监视 BFD 会 话 状态 实现 主 备 快速 切换 ， 切 换 时 间 
控制 在 50 毫 秒 以 内 。 
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VRRP (Virtual Router Redundancy,Protocol) 虚拟 路 由 元 余 协议 ， 
来 解决 局 域 网 主机 访问 外 部 网 络 的 可 靠 性 问题 。VRRP 是 一 种 容 
背 协议 ， 它 通过 把 几 合 路 由 设备 联合 组 成 一 合 虚拟 的 路 由 设备 ， 
并 通过 一 定 的 机 制 来 保证 当主 机 的 下 一 跳 路 由 器 出 现 故障 时 ， 可 
以 及 时 将 业务 切换 到 其 它 路 由 器 ， 从 而 保持 通讯 的 连续 性 和 可 靠 
性 。 

在 基于 VRRP 的 可 靠 性 组 网 中 ，BFD 为 主 备 路 由 器 之 间 的 链 路 提 
供 快 速 检测 机 制 , 学 检测 到 链 路 故障 时 ， 会 通告 VRRP 模 块 ， 以 
实现 主 备 路 由 器 之 间 的 快速 切换 功能 。 

BFD 能 够 对 接 六 以 太 网 段 或 独立 的 网 段 进行 故障 检测 。 通 过 与 路 
由 、 传 输 及 隧道 系统 中 的 倒 换 机 制 配合 ， 在 发 生 故 障 时 ， 快 速 触 
发 倒 换 ,信保 证 网 络 的 可 靠 运转 。 
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BFD for LSP 技 术 


BFD 可 以 用 来 检测 MPLS LSP 转 发 路 径 上 数据 平面 的 故障 。 
检测 MPLS LSP 的 连通 性 时 ，BFD 会 话 协商 有 两 种 方式 : 
静态 配置 BFD: 通过 手工 配置 BFD 的 本 地 标识 符 和 远 端 标识 符 ， 由 
BFD 本 身 的 协商 机 制 建立 会 话 。 
动态 创建 BFD 会 话 : 通过 在 LSP Ping 报 文中 携带 BFD Discriminator 
TLV 进 行 会 话 协商 。 
BFD 使 用 异步 模式 检测 LSP 的 连通 性 ， 即 Ingress 和 Egress 之 间 相 五 
周期 性 地 发 送 BFD 报 文 。 如 果 任 何 一 端 在 检测 时 间 内 没有 收 到 对 端 
发 来 的 BFD 报 文 ， 就 认为 LSP 状 态 为 Down ， 并 向 LSPM 上 报 LSP 
Down 消 息 。 
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BFD 可 以 用 来 检测 MPLS LSP 转发 路 径 米 数据 平面 的 故障 ， 同 时 
BFD 的 报 文 格式 是 固定 的 ， 非 常 适合 在 硬件 上 实现 和 穿越 防火 墙 。 
因此 用 BFD 检测 MPLS LSP 数据 平面 的 故障 。 
具有 以 下 优势 : 

。 反 向 只 要 求 IP 路 由 可 达 

。 快速 检测 

。 支持 大 规模 LSPs 的 故障 检测 
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BFD for LSP 技 术 〈 续 ) 


BFD 支 持 检测 的 LSP 类 型 有 : 
静态 BFD for 静 态 LSP 

静态 BFD for LDP LSP 
动态 BFD for LDP LSP 
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BFD for PST 技 术 


当 BFD 检 测 到 故障 时 ， 修 改 端口 状态 表 PST (Port State Table) 中 

的 接口 状态 ， 从 而 触发 快速 重 路 由 。BFD 会 话 修改 端口 状态 表 功 能 

只 能 用 于 绑 定 接口 的 BFD 单 跳 会 话 。 K 
BFD for PST 在 很 多 类 型 的 FRR (快速 重 路 由 ) HEAT Z. EH 

定 接口 的 BFD 会 话 中 使 用 BFD for PST， 会 将 该 BFD 会 话 与 这 个 接 

口 的 PST 表 联动 。 在 BFD 会 话 检测 到 链 路 Down 后 ， 将 该 接口 的 

PST 表 对 应 比特 位 置 Down ， 从 而 立即 进行 FRR 切换 。 
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对 于 采用 硬件 转发 的 设备 ， 直 接触 发 该 端口 上 的 业务 切换 ， 对 于 
采用 软件 转发 的 设备 ， 应 用 程序 通过 查询 PST 了 解 端口 状态 。 

如 果 允 许 BFD 修 改 端口 状态 表 PST (Port State Table) ， 当 BFD 
仿 测 到 接口 状态 变 为 Down 时 将 更 改 PST 中 相应 表 项 。 这 样 ， 其 
他 上 层 应 用 协议 就 能 够 通过 PS NT MRO ABRAM 

目前 ， 对 于 NE80E/40E 久 基于 BFD 检 测 的 LDP FRR 和 IP FRR 需要 
通过 PST 来 感知 BFD 检 测 结果 。 
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BFD for PIS 技 术 


BFD for PIS (Process interface status) 提供 一 种 简单 的 机 制 ， 使 
得 BFD 检 测 行为 可 以 关联 接口 状态 ， 提 高 了 接口 感应 链 路 故障 的 灵 
敏 度 ， 减 少 了 非 直 连 链 路 故障 导致 的 问题 。 

BFD 的 PIS 机 制 ， 对 检测 到 链 路 故障 的 BFD 会 话 ， 会 立即 上 报 Down 
消息 到 相应 接口 ， 使 得 接口 进入 一 种 特殊 的 Down 状 态 : BFD 
Down 状 态 ， 该 状态 等 效 于 链 路 协议 Down 状 态 ， 在 该 状态 下 只 
BFD 的 报 文 可 以 正常 处 理 ， 从 而 使 接口 也 可 以 快速 感知 链 路 故障 。 
对 于 每 个 要 配置 接口 联动 的 BFD 会 话 ， 配 置 为 组 播 检 测 并 指定 接口 
方式 ， 从 而 避 开 对 接口 IP 属 性 的 依赖 性 。 
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当 链 路 中 间 存 在 传输 设备 时 ， 虽 然 三 属 仍 是 直 连 ， 但 由 于 实际 物 
理 线路 分 段 ， 一 旦 链 路 故障 ， 两 端 设 备 需 要 比较 长 的 时 间 才 能 检 
测 到 ， 导 致 直 连 路 由 失效 慢 ， 网 络 中 断 时 间 长 。 此 时 ， 使 用 BFD 
for PIS 可 以 解决 问题 。 
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组 播 BFD 技 术 


组 播 BFD 用 于 检测 无 IP 地 址 等 三 层 属性 的 接口 之 间 的 链 路 连通 性 ， 
达到 链 路 故障 快速 检测 。 

通过 IP 组 播发 送 检测 报 文 ， 在 所 需 检 测 链 路 之 间 的 设备 上 配置 组 播 
检测 。 本 端 发 送 组 播报 文 ， 如 果 链 路 连通 ， 则 对 端 接 口 也 可 以 收 到 
这 个 组 播报 文 ， 上 送 对 端 BFD 应 用 ， 感 知 链 路 正常 。 对 于 二 层 
Trunk 链 路 ， 由 于 发 送 的 是 组 播报 文 ，IP 层 转发 不 需要 三 层 属性 ; 
直接 下 发 链 路 层 发 送 ， 快 速 检测 链 路 的 连通 性 。 这 里 的 I|P 是 BRB 模 
块 配 置 的 公认 的 组 播 地 址 Default-IP， 任 何 收 到 此 IP 的 接口 都 将 此 报 
文 上 送 BFD 应 用 ， 完 成 IP 转 发 。 
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PIM 邻 居 之 间 动 态 创 建 BFD 会 话 检 测 邻 居 之 间 的 链 路 状态 ,一旦 
有 故障 ，BFD 会 把 结果 直接 通告 给 PIMs 





G 
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加 总 结 


本 课程 主要 介绍 了 一 下 内 容 : 
故障 检测 的 主要 方法 和 分 类 
BFD 技 术 的 基本 原理 和 应 用 
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FRR 技术 





ES 
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ñi 言 


FRR 技术 提供 了 一 套 快 速 倒 换 的 机 制 ， 通 过 FRR 快速 保护 倒 

换 结合 快速 检测 技术 可 以 完成 JP 和 MPLS 网 络 的 快速 故障 检测 

和 倒 换 功 能 ， 并 在 缺陷 发 生 后 的 50ms 内 完成 保护 倒 换 ， 从 而 X 
将 缺陷 所 产生 的 影响 减 小 到 最 低 。 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 FRR 的 基本 概念 
。 FRR 的 基本 原理 和 应 用 
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FRR (Fast ReRoute) 是 一 种 可 靠 性 技术 。 
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使 目录 


IP FRR 技 术 
MPLS TE FRR# 
LDP FRR# 


VPN FRR## 
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IP FRR 技术 概述 


IP 快 速 重 路 由 针对 被 保护 接口 上 的 IP 流 量 实施 快速 倒 换 ， 速 度 可 达 
50ms 以 内 。 


IP FRR 原 理 是 采用 一 个 接口 作为 另外 一 个 接口 的 备份 ， 主 路 径 和 备 
份 路 径 都 下 发 到 FIB 转 发 表 项 。 主 路 径 没 有 故障 时 ， 流 量 从 主 路 径 
发 送出 去 。 当 主 用 接口 失效 ， 或 主 用 接口 连接 的 邻居 失效 后 ， 术 路 
由 器 通过 硬件 技术 或 其 他 快速 故障 检测 协议 (如 BFD) 快速 感知 


如 可 通过 BFD 联 动 IP FRR， 在 路 由 收敛 之 前 将 通过 这 个 接 喇 转发 的 
流量 快速 倒 换 到 备份 接口 上 。 
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BFD---Bidirectional Forwarding Detection 。 


BFD 是 一 个 简单 的 “Hello AAEE A A SB ee te AB 99 4B 
似 。 
。 一 对 系统 在 它们 之 间 所 建立 会 话 的 通道 上 周期 性 的 发 送 检测 报 
文 ， 如 果 某 个 系统 在 足够 长 的 时 间 内 未 收 到 对 端的 检测 报 文 ， 
则 认为 在 这 条 到 相信 系统 的 双向 通道 的 某 个 部 分 发 生 了 故障 。 
IP FRR 是 本 地 保护 技术 。 
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IP FRR 技术 的 分 类 与 实现 


IP FRR 针对 IP 网 络 路 由 而 设计 ， 分 为 公 网 |P FRR 和 私 网 IP FRR: 

AMIP FRR: 用 于 保护 公 网 路 由 器 。 

私 网 IP FRR: 用 于 保护 CE 路 由 器 。 X 
IP FRR 的 主要 实现 手段 如 下 : 

在 主 链 路 可 用 时 ， 通 过 Route-Policy 设 置 IP FRR 策略 ， 把 备份 路 出 

的 转发 信息 同时 提供 给 转发 引擎 。 

当 转发 引擎 感知 到 主 链 路 不 可 用 时 ， 能 够 在 控制 平面 路 由 设 伊 前 直 

接 使 用 备份 路 径 转发 信息 。 
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在 转发 模块 中 建立 一 张 端口 状态 表 , (保存 设备 中 每 个 端口 的 工作 
状态 。 当 检测 到 端口 不 能 正常 工作 时 《如 物理 链 路 失效 或 人 工 操 
作 将 端口 关闭 ) ， 立 即 更 新 端 同 状态 表 。 

同时 ， 在 报 文 转发 过 程 中 ， 如 果 查 转发 表 得 到 的 表 项 含有 负载 分 
担 项 〈 既 有 多 个 下 一 跳 ) ,4 在 按照 某 种 规则 选 定 一 个 下 一 跳 后 ， 
在 端口 状态 表 中 检查 这 个 下 广 跳 出 端口 的 状态 ， 如 果 状 态 为 失效 ， 
则 使 用 另 一 个 下 一 跳 进行 尝试 ， 直 至 遍历 全 部 负载 分 担 项 为 止 。 
在 检测 到 最 后 一 个 负载 分 担 项 时 可 以 不 再 检查 出 端口 的 状态 ， 而 
直接 使 用 这 个 下 一 跳 发 送 报 文 。 
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IP FRR 技术 的 保护 倒 换 过 程 


以 下 图 为 例 介绍 IP FRR 的 保护 倒 换 过 程 : 


on ` 
Network 
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BFD 用 于 检查 故障 。 

故障 发 生 后 切换 到 备份 链 路 。 
路 由 收敛 后 再 切换 到 次 优 路 由 。 
也 支持 负载 分 担 转发 。 
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IP FRR 技术 的 保护 倒 换 过 程 


以 上 图 为 例 介绍 IP FRR 的 保护 倒 换 过 程 : 


IP FRR 技术 涉及 到 主 链 路 、 次 优 链 路 、 备 份 链 路 三 种 链 路 。 主 链 路 
指 路 由 最 优 链 路 ， 在 网 络 稳定 、 路 由 收敛 的 情况 下 ， 业 务 量 从 该 链 
路 转发 。 次 优 链 路 指 路 由 cost 值 比 主 链 路 大 的 链 路 ， 主 链 路 失效 时 
路 由 会 收敛 到 该 链 路 。 备 份 链 路 指 备 份 下 一 跳 指定 的 链 路 。 这 三 种 
链 路 的 代价 是 不 等 值 的 。 

正常 情况 ， 以 主 链 路 为 出 接口 的 最 优 路 由 被 选中 。 当 主 链 路 故障 后 ， 
路 由 重新 收敛 ， 路 由 表 会 选中 以 次 优 链 路 为 出 接口 的 次 优 路 岂 。 在 
路 由 收敛 前 ， 通 过 备份 下 一 跳 将 流量 切换 至 备份 下 一 跳 指定 的 链 路 ， 
在 路 由 收敛 后 ， 按 照 路 由 选择 新 的 链 路 转发 ， 接 口 备份 使 命 结束 。 
可 见 ， 备 份 下 一 跳 的 作用 是 填补 了 路 由 收敛 的 时 间 间 隙 s$ 通过 将 流 
量 快速 切换 到 备份 下 一 跳 的 备份 链 路 ， 保 证 业务 不 中 断 。 





f 
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全 目录 


IP FRR# 
MPLS TE FRR 技术 
LDP FRR 技术 


VPN FRR## 
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MPLS TE FRR 技术 概述 


MPLS TE FRR (MPLS TE Fast Re-Route, MPLS TE 快速 重 路 由 ) 
是 MPLS TE 中 一 套用 于 链 路 保护 和 节点 保护 的 机 制 。 当 LSP 链 路 或 
者 节点 故障 时 ， 在 发 现 故 障 的 节点 进行 保护 ， 这 样 可 以 允许 流量 继 
续 从 保护 链 路 或 者 节点 的 隧道 中 通过 ， 以 使 得 数据 传输 不 至 于 发 生 
中 断 ， 同 时 头 节 点 就 可 以 在 数据 传输 不 受 影 响 的 同时 继续 发 起 主 路 
径 的 重建 。 

MPLS TE FRR 的 基本 原理 是 用 一 条 预先 建立 的 LSP 来 保护 蕊 条 或 多 
条 LSP。 预 先 建立 的 LSP 称 为 快速 重 路 由 LSP， 被 保护 的 LSP 称 为 
LSP. MPLS TE 快速 重 路 由 的 最 终 目的 就 是 利用 Bypass 隧 道 绕 过 
故障 的 链 路 或 者 节点 ， 从 而 达到 保护 主 路 径 的 功能 6 
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保护 的 范围 为 : 两 个 PE 设备 之 间 建 立 端 到 端的 TE 隧 道 。 

是 一 种 局 部 的 保护 技术 。 

MPLS TE 是 一 种 将 流量 工程 技术 与 MPLS 这 种 又 加 模型 相 结 合 的 
技术 。 通 过 MPLS TE， 可 以 建立 指定 路 径 的 LSP 隧道 ， 进 行 资源 
预 留 ， 并 且 可 以 进行 定时 优化 ,注资 源 紧张 的 情况 下 ， 可 以 根据 
优先 级 和 抢占 参数 的 情况 ， 抢 占 低 优 先 级 的 LSP 隧道 的 带宽 资源 
等 等 ; 同时 ， 还 可 以 通过 备份 路 径 和 快速 重 路 由 技术 ， 在 链 路 或 
节点 失败 的 情况 下 有 全 提 供 保护 。 

Bypass LSP 一 般 处 于 空闲 状态 ， 不 承担 数据 业务 。 
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MPLS TE FRR 基本 概念 


主 CR-LSP: 被 保护 的 CR-LSP。 


Bypass CR-LSP: 保护 主 CR-LSP 的 CR-LSP。Bypass CR-LSP 的 

入 节点 是 PLR， 出 节点 是 MP。Bypass CR-LSP 一 般 处 于 空 闻 状 态 ， 
不 承载 业务 。 如 果 需 要 使 用 Bypass CR-LSP 保 护 主 CR-LSP 的 同时 

承载 业务 数据 的 转发 ， 需 要 为 Bypass CR-LSP 分 配 足 够 的 带宽 。 

PLR (Point of Local Repair) : 本 地 修复 节点 。Bypass CR-LSP 的 

入 节点 ， 必 须 在 主 CR-LSP 的 路 径 上 ， 可 以 是 主 CR-LSP 的 矿 节 点 

但 不 能 是 主 CR-LSP 的 出 节点 。 

MP (Merge Point) : 汇聚 点 。Bypass CR-LSP 的 出 区 点 ,必须 在 

主 CR-LSP 的 路 径 上 ， 并 且 不 能 是 主 CR-LSP 的 入 节点 % 
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出 节点 : 标签 交换 路 径 的 末节 点 。 
入 节点 : 标签 交换 路 径 的 始 节 点 
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MPLS TE FRR 基本 概念 〈 续 ) 


链 路 保护 : 如 下 图 ，PLR 和 MP 之 间 有 直 连 链 路 (LSR2 一 LSR3) 连 
接 ， 主 CR-LSP 经 过 这 条 链 路 。 当 这 条 链 路 失效 时 ， 流 量 可 以 切换 
到 Bypass CR-LSP (LSR2 一 LSR6 一 LSR3) 上 。 4 


一 一 - mna 


Bypass LSP 
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MPLS TE FRR 基本 概念 〈 续 ) 


节点 保护 : 如 下 图 ，PLR 和 MP 之 间 存 在 一 台 LSR 
(LSR2 一 LSR3 一 LSR4) ， 主 CR-LSP 经 过 该 节点 (LSRC) . 4 

该 节点 失效 时 ， 流 量 可 以 切换 到 Bypass CR-LSP K 
(LSR2 一 LSR6 一 LSR4) 上 。 


一 一 一 PrimaryLSP 
一 -一 一 Bypass LSP 
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MPLS TE FRR 技术 的 保护 倒 换 过 程 


故障 检测 : 

链 路 保护 直接 使 用 链 路 层 协议 实现 故障 检测 和 通告 ， 链 路 层 发 现 故 
障 的 速度 与 链 路 类 型 直接 相关 。 节 点 保护 则 使 用 链 路 协议 检测 链 路 
故障 ， 在 链 路 没有 故障 的 情况 下 ， 可 以 通过 配置 BFD 机 制 检测 被 保 
护 节 点 的 故障 。 

对 于 节点 保护 ， 只 保护 被 保护 节点 及 其 与 PLR 之 间 的 链 路 。 ATP 
保护 节点 和 MP 之 间 的 链 路 故障 ，PLR 无 法 感知 。 


无 论 是 检测 到 链 路 故障 还 是 节点 故障 ， 最 终 都 会 导致 PLRsE 的 出 接 
口 被 置 为 老化 状态 。 出 接口 老化 就 会 触发 FRR 的 流量 切换 。 
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主 LSP 的 建立 过 程 与 普通 LSP 相 同 。 
Bypass LSP 的 建立 可 以 有 两 种 方式 ， 三 种 是 手工 方式 ， 一 种 是 自 
动 方式 ; 
e 手工 Bypass LSP 是 当 气 个 没有 快速 重 路 由 属性 的 隧道 被 指定 
保护 一 个 物理 接口 以 后 ， 它 所 对 应 的 LSP 就 成 为 Bypass LSP. 
手工 Bypass LSPR 的 建立 是 通过 在 PLR 手 工 配置 触发 的 。 它 的 
配置 与 普通 LSP 基 本 没有 分 别 ， 只 是 不 能 配置 快速 重 路 由 属性 。 
也 就 是 说 , Bypass LSP 不 能 同时 是 主 LSP，LSP 不 能 被 嵌 套 
保护 。 
。 自动 BypassLSP 是 对 手工 方式 的 配置 简化 ， 当 主 LSP 需 要 被 
FRR 保护 时 ，PLR 可 以 选择 或 自动 建立 一 条 Bypass LSP, FA 
来 保护 这 个 主 LSP， 这 种 方式 就 叫 自 动 Bypass。 自 动 Bypass 
可 以 保护 多 个 主 LSP， 只 要 它 可 以 满足 这 些 主 LSP 的 要 求 。 
Bypass LSP 一 般 处 于 空闲 状态 ， 不 承担 数据 业务 。 
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MPLS TE FRR 技术 的 保护 倒 换 过 程 
( 续 ) 


切换 : 


切换 是 指 主 CR-LSP 故 障 后 ， 业 务 流量 和 RSVP 消 息 从 主 CR- 
LSP 切 换 到 Bypass CR-LSP 上 ， 并 向 上 游 通告 切换 已 经 发 生 。 
在 切换 的 时 候 ， 主 CR-LSP 的 NHLFE 表 项 会 被 置 上 切换 标志 4 
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MPLS TE FRR 技术 的 保护 倒 换 过 程 
( 续 ) 


ely): 


切换 后 ，PLR 会 向 上 游 发 送 携带 切换 标记 的 PathError 消 息 。Ingress 
收 到 该 消息 ， 试 图 重建 主 CR-LSP， 但 不 拆除 主 CR-LSP， 而 是 借用 
Bypass CR-LSP 作 为 主 CR-LSP 继 续 转 发 数据 ， 直 到 主 CR-LSP 重 
建成 功 。 尝 试 重建 的 CR-LSP 称 为 Modified CR-LSP. 

当主 CR-LSP 重 建成 功 后 ， 业 务 流量 和 RSVP 消 息 需 要 从 Bypass 
CR-LSP 回 切 到 主 CR-LSP 上 。 此 过 程 ，TE FRR (包括 AutoRRR) 


采用 Make-before-break 机 制 ， 即 只 有 Modified CR-LSP 建 立成 功 后 ， 
原来 的 Primary CR-LSP 才 能 被 删除 。 
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MPLS TE FRR 保护 的 优先 顺序 


FRR 可 分 为 : 

带宽 与 非 带宽 保护 
节点 保护 与 链 路 保护 

手工 保护 与 自动 (Auto) 保护 


其 中 ， 带 宽 保 护 与 非 带宽 保护 是 根据 用 户 配置 ， 没 有 优 完 级 
之 分 。 如 果 需 要 选择 ， 则 首先 选择 满足 用 户 带 宽 配 置 需求 的 
Bypass CR-LSP， 如 果 同 时 满足 用 户 带 宽 配 置 需 求人 % 例 | 节点 
保护 优 于 链 路 保护 ， 手 工 保护 优 于 自动 保护 。 
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一 般 来 讲 ， 节 点 保护 可 以 同时 保护 被 保护 节点 和 PLR 与 被 保护 节 
点 之 间 的 链 路 ， 它 看 起 来 更 优 一 些 。 旭 果 可 能 的 话 ， 用 户 会 更 希 
望 部 署 节点 保护 。 华 为 公司 提供 了 灵活 的 保护 方式 ， 在 节点 保护 
不 能 工作 的 时 候 ， 华 为 公司 的 设备 支持 保护 方式 自动 降级 为 链 路 
保护 ， 当 节点 保护 再 次 生效 时 ,节点 保护 将 重新 起 作用 。 
Bypass LSP 的 建立 可 以 有 两 种 方式 ， 一 种 是 手工 方式 ， 一 种 是 自 
MAX; 
。 手工 BypassS\LSP 是 当 一 个 没有 快速 重 路 由 属性 的 隧道 被 指定 
保护 一 个 物理 接口 以 后 ， 它 所 对 应 的 LSP 就 成 为 Bypass LSP。 
手工 Bypass LSP 的 建立 是 通过 在 PLR 手 工 配置 触发 的 。 它 的 
配置 与 普通 LSP 基 本 没有 分 别 ， 只 是 不 能 配置 快速 重 路 由 属性 。 
也 就 是 说 /Bypass LSP 不 能 同时 是 主 LSP, LSP FRERE 
保护 。 
。 zy Bypass LSP 是 对 手工 方式 的 配置 简化 ， 当 主 LSP 需 要 被 
FRR 保护 时 ，PLR 可 以 选择 或 自动 建立 一 条 Bypass LSP， 用 
来 保护 这 个 主 LSP， 这 种 方式 就 叫 自 动 Bypass。 自 动 Bypass 
可 以 保护 多 个 主 LSP， 只 要 它 可 以 满足 这 些 主 LSP 的 要 求 。 
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MPLS TE FRR 的 部 署 原则 


TE FRR 是 MPLS TE 中 的 一 种 局 部 性 保护 机 制 。 在 配置 Bypass CR- 

LSP 时 ， 应 该 规划 好 它 所 保护 的 链 路 或 节点 ， 并 确保 该 Bypass CR- 

LSP 不 会 经 过 它 所 保护 的 链 路 或 节点 ， 否 则 不 能 真正 起 到 保护 作用 。。 WC 
FRR 不 支持 多 点 故障 。 即 ， 如 果 发 生 了 FRR 切换 ， 数 据 从 主 CR- 
LSP 切 换 到 Bypass CR-LSP， 在 数据 通过 Bypass CR-LSP 转 发 期 间 ; 
Bypass CR-LSP 的 状态 必须 始终 保持 UP。 一 旦 Bypass CR-ESPR 在 

此 期 间 出 现 故障 ， 被 保护 的 数据 将 不 能 通过 MPLS 转 发 ， 从 而 可 能 

出 现 流量 中 断 ，FRR 功 能 失效 。 


FRR 的 Bypass 隧 道 需要 预先 建立 ， 这 需要 占用 额外 的 带宽 。 在 网 络 
带宽 余 量 不 多 的 情况 下 ， 只 能 对 关键 的 链 路 或 节点 进行 FRR 保 护 。 
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MPLS TE FRR 技术 不 能 解决 作为 隧道 起 始点 和 终结 点 的 PE 设备 
的 故障 。 一 旦 PE 节点 发 生 故 障 ,s 只 能 通过 端 到 端的 路 由 收敛 、 
LSP 收 敛 来 恢复 业务 ， 其 业务 收敛 时 间 与 MPLS VPN 内 部 路 由 的 
数量 、 承 载 网 的 跳 数 密切 相关 。 人 在 典型 组 网 中 一 般 在 5s 左 右 ， 无 
法 达到 节点 故障 端 到 端 业务 收 将 小 于 1s 的 要 求 。 
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全 目录 


IP FRR} 

MPLS TE FRR#§ 
LDP FRR 技术 
VPN FRR 拉 才 
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LDP FRR 技术 特点 


不 需要 采用 复杂 的 MPLS TE 技 术 ， 设 备 开 销 小 

本 地 化 实现 ， 无 需 相 邻 设备 配合 支持 

多 个 节点 分 布 式 处 理 ， 备 份 端口 可 同时 实现 链 路 保护 、 节 点 保 护 和 
路 径 保护 

可 用 于 对 任意 IP/MPLS 流 量 的 保护 
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MPLS TE FRR 技术 也 有 一 些 缺 点 ， 虽 然 出 现 了 较 长 时 间 ， 但 始终 
能 大 规模 部 署 。 具 体 表现 在 : 
。 1) 依赖 于 复杂 的 MPLS TE 技术 ;设备 开销 大 ; 
。 2) 备份 LSP 需 手工 显 式 的 指定 ， 配 置 工作 量 大 ; 
。 3) 为 进行 链 路 、 节 灸 和 路 径 保 护 ， 需 要 分 别 建立 备份 LSP， 带 


来 不 必要 的 开销 ; 
。 4) 备份 LSP 也 存在 故障 可 能 ， 没 有 保护 机 制 ， 当 它 失效 时 不 能 
进行 快速 重 路 由 ; 


。 5) 要 求 备份 LSP 不 能 经 过 被 保护 的 链 路 、 节 点 ， 要 求 过 于 严格 ， 
有 时 候 即 使 目的 地 可 达 ， 仍 不 能 建立 备 LSP. 
为 了 克服 上 述 缺 点 ， 需 要 一 种 设备 开销 小 、 Geen 自 适应 网 
络 变 化 的 全 新 的 技术 方案 ，LDP FRR 技术 应 运 
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LDP FRR 技术 对 LDP 的 要 求 


LDP FRR 对 LDP 协 议 的 要 求 : 下 游 自主 的 标签 分 发 + 有 序 的 标签 控 
制 + 自由 的 标签 保持 。 


在 自由 的 标签 保持 方式 下 ，LSR 可 以 从 任何 相 邻 LSR 收 到 对 于 FEC 
的 标签 映射 消息 ， 不 论 发 送 这 一 消息 的 相 邻 LSR 是 否 是 它 所 通告 的 
特定 FEC (标签 映射 中 FEC 所 对 应 路 由 的 下 一 跳 ) ，LSR 对 于 它 收 


到 的 所 有 标签 映射 都 加 以 保留 ， 其 中 ， 只 有 从 FEC 对 应 路 由 的 下 二 
跳 发 送 来 的 标签 映射 会 生成 标签 转发 表 (以 下 称 为 主 标签 转发 表 ) o 
如 果 为 其 它 标签 映射 也 生成 标签 转发 表 ， 并 作为 主 标签 转发 表 的 备 
份 ， 相 当 于 建立 了 备份 LSP，LSR 就 可 以 快速 对 链 路 变化 作出 响应 。 
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下 游 自 主 的 标签 分 发 (DU) : 主动 同 二 游 LSR 发 送 标签 映射 。 
有 序 的 标签 控制 : 只 有 收 到 它 的 鹤 游 返回 的 标签 映射 消息 后 才 向 
其 上 游 发 送 标签 映射 消息 。 

自由 的 标签 保持 : 保存 所 有 邻居 发 送 过 来 的 标签 。 

DU+ 有 序 + 自 由 的 方式 是 当前 的 主流 。 
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LDP FRR 技术 实现 原理 


以 下 图 为 例 介 绍 LDP FRR 的 实现 原理 





人 标签 | 主 用 NHLFE | 备用 NHLFE 
L21 RT2-RT5L52 | R2-R3,L32 
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网 络 中 运行 LDP 协 议 ， 其 工作 方式 为 DB 昌江 下 游 自主 ) 标签 分 发 + 
有 序 的 标签 控制 + 自由 的 标签 保持 。 

R1 到 达 R5 有 多 个 路 径 ，R5 向 .有 B 游 发 起 多 标签 映射 消息 ， 最 终 ， 
R2 和 R3 分 别 给 R1 分 配 了 到 达 R5 的 标签 ， 其 中 ，R2 分 配 的 标签 主 
用 ，R3 分 配 的 标签 可 作为 备用 。 
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LDP FRR 技术 实现 原理 


1、 指 定 LSR 的 一 个 设备 端口 作为 另外 一 个 设备 端口 的 备份 端口 。 这 

两 个 端口 既 可 以 是 物理 端口 ， 也 可 以 是 逻辑 端口 ， 前 提 是 LDP 运 行 

在 这 个 端口 上 。 X 
2、 设 备 维护 标签 转发 表 ， 在 未 实施 端口 备份 时 ， 一 个 标签 转发 表 

仅 有 一 个 下 一 跳 及 标签 ， 其 中 的 标签 是 FEC 的 路 由 下 一 跳 所 连接 

LDP 对 等 体 为 FEC 分 配 的 标签 。 在 实施 端口 备份 后 ， 若 某 个 标签 转 

发 表 的 下 一 跳 是 被 保护 的 端口 ， 为 这 个 表 项 增加 一 个 下 会 跳 及 标签 ， 

其 中 的 标签 是 备份 下 一 跳 连接 的 LDP 对 等 体 为 FEC 分 配 的 标签 。 如 

图 所 示 ，RT2 上 针对 FEC (到 达 RT5 的 报 文 ) 生成 两 个 NHEFE。 
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LDP FRR 技术 实现 原理 《〈 续 ) 


3、 设 备 维护 每 个 端口 的 工作 状态 (正常 /失效 ) 。 当 检测 到 某 个 端 
口 不 能 正常 工作 时 (如 物理 链 路 失效 或 人 工 操作 将 端口 关闭 ) ， 立 
即 更 新 其 状态 。 在 报 文 转发 过 程 中 ， 查 找 标签 转发 表 可 以 获得 报 文 
的 下 一 跳 端 口 ， 检 查 到 其 状态 为 失效 ， 则 倒 换 到 备份 的 端口 ， 并 设 
置 对 应 的 标签 ， 发 送 报 文 。 

4、 报 文 到 达 下 一 跳 ， 由 于 标签 是 它 自己 分 配 的 ， 这 个 下 一 跳 由 一 
定 有 对 应 的 标签 转发 表 ， 从 而 可 以 继续 转发 报 文 到 目的 地 % 
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由 于 是 有 序 的 方式 ， 所 以 到 达 下 一 跳 局 本 以 继续 转发 报 文 。 
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全 目录 


IP FRR} 
MPLS TE FRR# 
LDP FRR# 
VPN FRR 技术 
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VPN FRR 技术 概述 


为 了 达到 相 邻 节点 业务 倒 换 小 于 50ms、 端 到 端 业务 收敛 小 于 1s 的 要 

K, MPLS TE FRR 技术 、IGP 路 由 快速 收敛 技术 都 应 运 而 生 ， 但 是 
它们 都 无 法 解决 在 CE 双 归 PE 的 网 络 中 ，PE 设 备 节 点 故障 时 的 端 到 X 
端 业务 快速 收敛 的 问题 。 

VPN FRR 利 用 基于 VPN 的 私 网 路 由 快速 切换 技术 ， 通 过 预先 在 远 端 

PE 中 设置 指向 主 用 PE 和 备用 PE 的 主 备 用 转发 项 ， 并 结合 PE 故障 快 

速 探测 ， 旨 在 解决 CE 双 归 PE 的 MPLS VPN h, PERAE S 

致 的 端 到 端 业务 收敛 时 间 长 〈( 大 于 1s) 的 问题 。VPN FRR 简单 可 

靠 ， 部 署 方便 ， 而 且 除 了 PE 之 间 的 故障 快速 检测 机 制 之 处 售 不 依赖 

于 周边 设备 的 配合 。 
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PE 故障 快速 探测 如 : BFD, MPLS OAM 等 。 
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VPN FRR 技术 特点 


实现 在 PE 节点 故障 情况 下 ， 端 到 端 业务 收敛 时 间 小 于 1s 

故障 恢复 时 间 与 私 网 路 由 的 规模 无 关 

除了 PE 之 间 的 故障 快速 检测 机 制 之 外 ， 不 依赖 于 周边 设备 的 配合 。 xX 
简单 可 靠 ， 部 署 方便 
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VPN FRR 技术 实现 原理 


以 下 图 为 例 介 绍 VPN FRR 的 实现 原理 
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为 了 提高 网 络 的 可 靠 性 部 署 CE 双 归 RE 芝 外 ， 一 般 的 ， 还 会 在 PE2 
和 PE3 上 部 署 VRRP 协 议 ， 当 作为 VRRP 主 设备 的 PE2 出 现 故障 时 ， 
PE3 成 为 新 的 VRRP 主 设备 ， 并 发 布 免费 ARP 报 文 ， 吸 引 从 CE2 访 
问 CE1 的 流量 从 PE3 上 传 ; 对 于 CE2 访 问 CE1 的 流量 ， 则 利用 
VPN FRR 技术 ， 从 PE2/PE3 快 速 重 路 由 到 PE1， 再 由 PE1 下 发 给 
CE1， 这 个 过 程 与 VRRR 的 状态 切换 无 关 。 





第 296 页 HUAWEI TECHNOLOGIES HC Series 





HCDP-IENP ”第 二 章 可 靠 性 





VPN FRR 技术 实现 原理 〈 续 ) 


VPN FRR 技术 对 传统 技术 进行 了 改进 : 支持 PE1 设 备 根据 匹配 策略 
选择 符合 条 件 的 VPNv4 路 由 ; 对 于 这 些 路 由 ， 除 了 优选 的 PE2 发 布 
的 路 由 信息 ， 次 优 的 PE3 发 布 的 路 由 信息 也 同样 填写 在 转发 项 中 。 

当 PE2 节 点 故障 时 ，PE1 通 过 BFD、MPLS OAM 等 技术 感知 到 PE1 

与 PE2 之 间 的 外 层 隧 道 不 可 用 ， 便 将 LSP 隧 道 状态 表 中 的 对 应 标志 
设置 为 不 可 用 并 下 刷 到 转发 引擎 中 ， 转 发 引擎 命中 一 个 转发 项 之 局 
检查 该 转发 项 对 应 的 LSP 隧 道 状态 ， 如 果 为 不 可 用 ， 则 使 用 本 转发 
项 中 携带 的 次 优 路 由 的 转发 信息 进行 转发 。 这 样 ， 报 文 就 会 被 打上 
PE3 分 配 的 内 层 标签 ， 沿 着 PE1 与 PE3 之 间 的 外 层 LSP 隧 道 安 换 到 

PE3 ， 再 转发 给 CE2 ， 从 而 恢复 CE1 到 CE2 的 业务 PSRMPE2T A 

故障 情况 下 的 端 到 端 业务 的 快速 收敛 。 
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VPN FRR 技术 实现 原理 〈 续 ) 


当 L3VPN 中 承载 了 大 量 的 路 由 时 ， 按 照 传 统 的 收敛 技术 ， 当 和 远 端 PE 
出 现 故 障 时 ， 所 有 这 些 VPN 路 由 都 需要 重新 迭代 到 新 的 隧道 上 ， 端 

到 端 业务 故障 收敛 的 时 间 与 VPN 路 由 的 数量 相关 ，VPN 路 由 数量 越 X 
大 ， 收 敛 时 间 越 长 。 而 对 于 VPN FRR 技术 ， 我 们 只 需要 检测 并 修改 

外 层 隧 道 的 状态 ， 无 论 转 发 流量 命中 的 是 哪 条 VPN 路 由 ， 流 量 都 会 
切换 到 VPN FRR 的 备份 路 径 上 ， 其 收敛 时 间 只 取决 于 远 端 PE 故障 

的 检测 并 修改 对 应 隧道 状态 的 时 间 ， 而 与 VPN 路 由 的 数量 无 关 s 
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O 总 结 


本 课程 主要 介绍 了 一 下 内 容 : 
FRR 技 术 的 基本 概念 


目前 主要 应 用 的 FRR 技 术 的 实现 和 基本 原理 : IP FRR, 
MPLS TE FRR, LDP FRR, VPN FRR 
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MPLS OAM 技术 
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ñi = 


MPLS OAM 技 术 为 MPLS 网 络 提供 了 一 套 缺 陷 检测 的 工具 及 
缺陷 纠正 机 制 ， 通 过 MPLS OAM 及 保护 倒 换 构件 可 以 完成 
CR-LSP 转 发 平面 的 检测 功能 ， 并 在 缺陷 发 生 后 的 50ms 内 完 X 
成 保护 倒 换 ， 从 而 将 缺陷 所 产生 的 影响 减 小 到 最 低 。 
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OAM (Operation Administration & Maintenance) 可 以 简化 网 络 
操作 、 随 时 检验 网 络 性 能 、 降 低 网 络 运行 成 本 。 部 署 有 效 的 OAM 
机 制 对 于 公众 电信 和 网 的 运行 非常 重要 ， 尤 其 是 对 于 需要 提供 服务 
质量 保障 ， 即 达到 一 定 的 性 能 重用 度 要 求 的 网 络 。 
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吝 训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。MPLS OAM 技 术 的 基本 概念 
。 MPLS OAM 技 术 的 基本 原理 
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OEE: 


MPLS OAM 技 术 概 述 
MPLS OAM 检 测 技 ; 


MPLS OAM 保 护 倒 换 技 7 
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MPLS OAM 技 术 概 述 


承载 MPLS 的 各 种 服务 层 ， 比 如 SDH 都 具有 完善 的 OAM 机 制 ， 问 题 在 于 

MPLS 可 以 在 多 种 不 同 的 服务 层 上 传送 (甚至 LSP 可 以 跨越 由 不 同 服务 层 组 

成 的 网 络 ) ， 而 且 它 的 用 户 层 也 是 多 种 多 样 ， 如 IP、FR、ATM、Ethernet 等 

等 ,为 了 在 MPLS 的 用 户 平面 能 确定 LSP 的 连通 性 ，MPLS 层 需要 提供 一 种 X 
完全 不 依赖 于 任何 用 户 层 或 物理 层 的 OAM 机 制 。 

MPLS OAM 实 际 上 为 MPLS 用 户 层 单独 提供 了 一 套 检 测 机 制 ， 独 立 于 其 他 网 

络 层 并 为 用 户 提供 LSP 的 状态 信息 ， 为 网 络 管理 以 及 维护 人 员 提 供 丰富 的 
LSP 诊 断 接口 ， 为 网 络 性 能 测量 以 及 用 户 计 费 提供 依据 ; MPLS,OA 卫 在 提供 

检测 工具 的 同时 ， 还 具备 完善 的 保护 倒 换 机 制 ， 能 够 在 MPLS 层 发 本 缺 陷 后 

50ms 内 完成 用 户 数据 的 倒 换 动作 ， 使 用 户 数据 的 损失 减 小 的 最 低 。 
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MPLS 作 为 可 扩展 的 下 一 代 网 络 的 关键 承载 技术 ， 提 供 具 有 QoS 保 
障 的 多 业务 能 力 ， 并 且 ，MPLS 引 入 子 志 个 新 的 网 络 层次 ， 会 存在 
由 这 个 新 的 网 络 层 引 起 的 故障 和 ， 因此 ，MPLS 网 络 需要 具备 OAM 
能 o 
承载 MPLS 的 服务 层 (server-layer) ,例如 SONET/SDH， 以 及 
利用 MPLS 的 客户 层 (client-layer) ， 例 如 IP、FR、ATM， 都 有 
各 自 的 OAM 机 制 。 但 MPBS 网 络 层 本 身 的 故障 不 能 完全 通过 其 他 
层 的 OAM 机 制 解 决 。 并 县， 网 络 技术 的 分 层 要求 ， 也 需要 MPLS 
具有 自己 独立 的 OAM 机 制 ， 从 而 减少 各 层 之 间 的 依赖 关系 。 
MPLS OAM 需 要 实现 以 下 功能 : 
。 提供 按 需 查询 和 连续 的 检测 ， 随 时 了 解 被 监控 的 LSP 是 否 存在 
缺陷 
。/ 发 生 缺 陷 后 ， 能 够 探测 到 缺陷 、 分 析 、 定 位 ， 通 知 网 管 系统 ， 
并 根据 缺陷 的 类 型 采取 适当 的 行动 。 
a 在 链 路 出 现 缺陷 或 故障 时 迅速 进行 保护 倒 换 ， 以 便 能 根 
据 与 客户 签订 的 SLA (Service Level Agreements) 提 
供 业 务 。 并 通过 缩短 业务 中 断 的 时 间 ， 减 少 维护 时 间 和 
维护 资源 。 
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.在 LSP 迭 代 应 用 中 ， 适 当 的 处 理 可 以 抑制 告警 风暴 。 

"具备 良好 的 兼容 性 ， 对 于 不 支持 OAM 功 能 的 标签 交换 节点 LSN 
(Label Switching Node) ， 丢 弃 OQAM 报 文 ， 但 不 影响 用 户 流量 ， 

也 不 引发 其 他 无 关 的 动作 。 

“能够 测量 LSP 的 可 用 度 和 网 络 性 能 ， 为 用 户 计 费 提供 依据 。 K 
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OEE: 


MPLS OAM} 
MPLS OAM 检 测 技术 
MPLS OAM 保 护 { 
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MPLS OAM 检 测 技术 


MPLS OAM 使 用 的 报 文 分 为 三 类 
连通 性 检测 : 包括 两 种 类 型 的 探测 报 文 
e FFD (Fast Failure Detection) 
e CV (Connectivity Verification) 
前 向 缺陷 通告 FDI (Forward Defect Indication) 
后 向 缺陷 通告 BDI (Backward Defect Indication) 
MPLS OAM 检 测 功 能 是 指 对 TE LSP 的 连通 性 检测 。MPLS 


OAM 通 过 在 被 检测 的 TE LSP 上 周期 性 发 送 检 测报 文 CV 或 
FFD 实 现 。 
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FFD 提 供 对 P2P 类 型 的 LSF 的 检测 机 制 在 LSP 源 端 ，FFD 探 测报 
文 的 产生 速率 可 以 调整 ， 通 常 应 用 FFB 来 获得 更 快 的 检测 速度 。 
OAM FFD 报 文 同 CV 报 文 一 样 和 也 可 以 检测 和 诊断 所 有 类 型 的 
LSP 连 通 性 缺陷 ， 包 括 MPLS 层 以 及 MPLS 层 之 下 的 缺陷 。 
CV 报 文 在 LSP 的 源 端 FSR 以 每 秘 1 个 的 速率 产生 ， 由 LSP 的 宿 端 
LSR 接 收 。 由 于 产生 的 速率 较 低 且 不 可 调整 ， 通 常用 于 普通 的 
LSP 可 用 度 检 测 。 
CV 报 文 可 用 于 检测 和 诊断 所 有 类 型 的 LSP 连 通 性 缺陷 ， 包 括 
MPLS 层 以 及 MRLS 层 之 下 的 缺陷 。 
前 向 缺陷 通告 FDI 报 文 是 对 CV 或 FFD 检 测 到 的 缺陷 进行 的 响应 ， 
由 检测 到 缺陷 的 LSR 产 生 ， 其 主要 目的 是 抑制 受 影响 的 客户 LSP 
层 产生 告警 。 对 于 底层 LSP: 

。 LSPR 的 源 端 使 用 FDI 报 文 将 缺陷 通告 给 LSP 宿 端 。 

。 启用 自动 协议 时 ，LSP 源 端 使 用 FDI 报 文通 知 宿 端 停止 OAM 检 

Io 

下 游 ESP 的 宿 端 FSR 检测 到 缺陷 后 ， 使 用 后 向 缺陷 通告 BDI 报 文 ， 
沿 反 向 通道 将 缺陷 告知 上 游 的 源 端 LSR。 
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MPLS OAM 检 测 技术 〈 续 ) 


以 下 图 为 例 介绍 MPLS OAM 的 检测 过 程 
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BDI 报 文 使 用 反 向 通道 传送 ， 反 向 通道 可 以 是 与 被 检测 LSP 具 有 相 
反 入 节点 和 出 节点 的 LSP， 也 可 以 是 连接 被 检测 LSP 的 入 节点 和 
出 节点 的 非 MPLS 路 径 。 
具体 来 说 ， 承 载 BDI 报 文 的 反 向 通道 包括 以 下 三 种 类 型 : 
。 专用 反 向 LSP: 每 条 前 向 了 BP 有 自己 的 反 向 LSP。 这 种 方法 相 
对 稳定 ， 但 可 能 造成 资源 浪费 。 
。 共享 反 向 LSP 汇 多 条 前 向 LSP 共 用 一 条 反 向 LSP， 通 过 BDI 携带 
的 TTSI 区 分 前 向 LSP。 这 种 方法 减少 了 资源 浪费 ， 但 当 多 条 前 
向 LSP 同 时 出 现 缺 陷 时 ， 反 向 LSP 可 能 发 生 拥塞 。 
。 非 MPLS 返 回路 径 。 这 种 方法 存在 安全 隐患 。 例 如 ， 恶 意 用 户 
可 以 制造 过 条 BDI 报 文 发 给 被 检测 LSP 的 源 端 ， 造 成 不 必要 的 
中 断 。 
华为 设备 只 支持 前 两 种 类 型 ， 即 ， 只 能 使 用 LSP 作 为 反 向 通道 。 
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MPLS OAM 检 测 技术 〈 续 ) 


MPLS OAM 的 检测 过 程 : 

入 节点 发 送 CV/FFD 检 测报 文 ， 报 文通 过 被 检测 的 LSP 到 达 出 节点 。 
出 节点 把 接收 到 的 报 文 类 型 、 频 率 、TTSI 等 信息 与 本 地 记录 的 应 该 
收 到 的 值 相 比较 ， 判 断 报 文 是 否 正确 ， 并 统计 检测 周期 内 收 到 的 正 
确 报 文 与 错误 报 文 的 数量 ， 从 而 对 LSP 的 连通 性 进行 监控 。 


CV 报 文 的 检测 频率 为 固定 值 ，FFD 报 文 的 检测 周期 为 检测 频率 的 三 
当 出 节点 检测 到 LSP 缺 陷 后 ， 分 析 缺 陷 类 型 ， 通 过 反 向 通道 将 携带 
缺陷 信息 的 BDI 报 文 发 送 到 入 节点 ， 从 而 使 入 节点 及 时 获知 缺陷 状 
态 。 如 果 正 确 配置 了 保护 组 ， 还 会 触发 相应 的 保护 倒 换 s 
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LSP 源 宿 连接 标识 TTSI (Trail Termination Source Identifier) 用 
于 在 网 络 中 唯一 标识 一 条 LSP。 
令 测 到 的 缺陷 分 为 三 类 : JEMPLS 层 缺陷 、MPLS 层 缺 陷 、 其 他 
缺陷 。 
。 非 MPLS Ear: 
a dServer: 嘱 务 层 缺陷 。 任 何 来 自 MPLS 网 络 下 层 的 非 
MPLS 层 技 术 的 服务 层 缺 陷 。 
«= 承载 MPLS 的 下 层 网 络 可 能 会 有 其 自身 的 保护 及 缺陷 检 
测 机 制 ” 当 一 条 LSP 某 处 出 现 底层 缺陷 后 ， 距 离 该 故障 
最 近 的 LSR (下 游 方向 ) 应 能 将 该 缺陷 通告 给 Egress 
节点 。 对 于 发 生 的 底层 缺陷 不 应 触发 倒 换 动作 ， 仅 上 报 
网 管 ， 但 可 以 通过 适当 的 方式 通知 Ingress 节点 (BDI 
RX) 。 
= dPeerME: 对 等 实体 缺陷 。 任 何 来 自 MPLS 子 网 外 对 等 
维护 实体 的 非 MPLS 层 技术 的 服务 缺陷 。 
e MPLS 层 缺 陷 : 
a dLOCV: 连通 性 校 验 丢 失 缺 陷 。 
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。 在 任意 3 个 连续 的 CV/FFD 发 送 周期 内 没有 接收 到 相应 的 
CV/FFD 报 文 即 认 为 发 生 该 缺陷 。 

e dTTSI_Mismatch: TTS! 失 配 缺陷 。 

。 在 任意 3 个 连续 的 CV/FFD 发 送 周期 内 没有 接收 到 带 有 正确 
TTSI 的 CWFFD 报 文 即 认为 发 生 该 缺陷 。 

e dTTSI_Mismerge: TTSI 错误 合并 缺陷 。 xX 

。 在 任意 3 个 连续 的 CV/FFD 发 送 周期 内 接收 到 既 带 有 正确 TRSI 
又 带 有 错误 TTSI 的 CV/FFD 报 文 ， 即 认为 发 生 该 缺陷 。 

。 dExcess: 连通 性 检测 报 文 超速 缺陷 。 

。 在 任意 3 个 连续 的 CV/FFD 发 送 周期 内 接收 到 超过 (包括 ) 5 
个 正确 的 CV/FFD 报 文 ， 即 认为 发 生 该 缺陷 。 

其 他 缺陷 : 

e dUnknown: 在 MPLS 网 络 中 出 现 未 知 缺 陷 。 

。 这 种 缺陷 可 以 自行 定义 用 ， 比 如 Egress 检 测 到 在 同一 条 LSP 
中 既 存 在 CV 报 文 又 存在 FFD 报 文 上 类 似 这 种 协议 没有 规定 的 
特殊 缺陷 可 以 用 dUnknown 来 标识 & 





HC Series HUAWEI TECHNOLOGIES 第 311 页 





HCDP-IENP ”第 二 章 可 靠 性 





MPLS OAM 保 护 倒 换 技 术 
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保护 倒 换 PS (Protection Switching ©} = Tunnel 预先 建立 相应 
的 保护 Tunnel (备用 Tunnel) 并 为 其 分 配 带宽 ， 主 Tunnel 和 备用 
Tunnel 构成 一 对 保护 组 。 当 主 Tunriel 发 生 缺 陷 时 ， 数 据 流 迅速 倒 
换 到 备用 Tunnel， 减 少 由 于 BSP 失效 造成 的 丢 包 或 时 延 等 问题 ， 
从 而 提高 网 络 可 靠 性 。 保 护 倒 换 是 端 到 端的 保护 。 

配合 MPLS OAM 的 快速 缺陷 检测 ， 可 以 使 保护 倒 换 达到 毫秒 级 切 
换 。 
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MPLS OAM 保 护 倒 换 技术 


1:1 保 护 倒 换 : 

1:1 模 式 是 在 Tunnel 的 入 节点 和 出 节点 间 提 供 主 备 两 条 Tunnel 
正常 情况 下 ， 数 据 在 主 Tunnel 传 输 。 

当 入 节点 通过 检测 机 制 发 现 主 Tunnel 故 障 时 ， 进 行 保护 倒 换 6 
将 数据 切换 到 备用 Tunnel 上 继续 传输 。 


xX 
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MPLS OAM 保 护 倒 换 提 供 对 整 条 LSR 的 保护 ， 而 不 是 对 其 中 一 段 
或 某 个 节点 的 保护 。 

对 选 定 的 主 LSP， 备 LSP 的 路 由 和 布 宽 都 是 预 留 的 。 因 此 ， 保 护 
倒 换 是 一 种 完全 指 配 的 保护 机 制 。 汶 了 保证 在 主 LSP 所 有 可 能 的 
失效 情况 下 ， 保 护 都 会 有 效 实施 ， 备 LSP 需 要 采用 一 条 与 主 LSP 
完全 不 同 的 物理 通道 。 
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MPLS OAM 保 护 倒 换 技术 续 ) 
1:1 保 护 倒 换 : 
(ali + Ge 


一  : Traffic of working tunnel-1 


=== : Traffic of working tunnel-2 


一 : Traffic of working tunnel-4 
> : Traffic of Working Tunnel-2 
Sk : Working Tunnélthis failed 
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在 1:1 模 式 下 ， 每 条 主 LSP 都 有 自己 的 备 ESP。 

正常 情况 下 ， 数 据 通过 主 LSP 传 输 ， 备 LSP 上 没有 主 LSP 的 流量 。 
当 宿 端 通过 检测 机 制 发 现 主 LSP 故 障 时 ， 宿 端 先 切换 到 备 LSP 上 ， 
再 通过 反 上 向 通道 向 源 端 发 送 BBI 报 文 ， 通 知 Ingress 将 主 LSP 的 流 
量 旁 路 到 备 LSP 上 ， 从 而 完成 1:1 模 式 的 保护 切换 。 

反 向 通道 用 来 向 源 端 发 送 BDI 报 文 ， 通 知 Ingress 将 主 LSP 的 流量 
旁 路 到 备 LSP 上 ， 从 而 完成 1:1 模 式 的 保护 切换 。 
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MPLS OAM 保 护 倒 换 技术 


N:1 保 护 倒 换 : 


N:1 模 式 是 将 一 条 Tunnel 作 为 多 条 主 用 Tunnel 的 备用 Tunnel， 
当 任 何 一 条 主 用 Tunnel 故 障 时 ， 都 将 数据 倒 换 到 共享 的 备用 
Tunnel 上 。 这 种 模式 主要 是 为 了 在 网 状 拓扑 结构 的 网 络 中 节 


省 带宽 。 
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MPLS OAM 保 护 倒 换 技术 〈 续 ) 


N:1 保 护 倒 换 : 


倒 换 前 


———> : Traffic of working tunnel-1 


: Traffic of working tunnel-2 


下 


一 一  : Traffic of working tunneled, 
rae æ : Traffic of Working Tunnel-2 
BS : Working Tyfnel-T iS failed 
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共享 保护 模式 主要 是 为 了 在 采用 网 状 拓扑 * (mesh topology) 的 网 
络 中 节省 带宽 。 

在 共享 保护 模式 下 ， 使 用 一 条 LSP 作 为 多 条 主 LSP 的 备 LSP， 当 任 
何 一 条 主 LSP 故 障 时 ， 都 将 数据 倒 换 到 共享 的 备 LSP 上 。 这 种 方 
式 的 触发 机 制 和 倒 换 机 制 与 1:1 模 式 类 似 。 
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O 总 结 


本 课程 主要 介绍 了 一 下 内 容 : 
MPLS OAM 技 术 的 基本 概念 
MPLS OAM 技 术 的 检测 原理 
MPLS OAM 技 术 的 倒 换 原理 
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O 总 结 


本 课程 主要 介绍 了 一 下 内 容 : 
MPLS OAM 技 术 的 基本 概念 
MPLS OAM 技 术 的 检测 原理 
MPLS OAM 技 术 的 倒 换 原理 
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HA 技术 综合 应 用 实例 
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ñi = 


单独 的 故障 检测 技术 或 者 保护 倒 换 技 术 都 不 能 完全 实现 业务 的 


快速 检测 和 切换 ， 每 一 种 故障 检测 技术 和 保护 倒 换 技术 都 有 自 
己 的 应 用 场景 ， 本 章 以 典型 的 IP 承 载 网 架构 为 例 ， 从 网 络 中 的 


故障 位 置 入手 阐 述 各 种 可 靠 性 技术 在 承载 网 上 的 综合 部 署 。 
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音 训 | 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 故障 检测 技术 的 基本 应 用 
。 保护 倒 换 技 术 的 基本 应 用 
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OEE: 


承载 网 概述 
IP FRR 应 用 


LDP/T 





VPN FRRA 
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Ws Huawei 


传统 IP 网 络 仅 承载 Internet 业 务 ， 采 用 非 面向 连接 、 尽 力 而 为 的 服 
务 模式 ， 自 愈 时 间 长 ， 安 全 性 较 差 ， 不 能 满足 承载 电信 级 移动 话 
音 、 视 频 业 务 的 要 求 。 如 果 要 使 用 | 已 网 络 作为 承载 网 ， 除 了 要 对 
IP 地 址 规划 、IGP 路 由 协议 部 署 和 MPLS 部 署 进行 精心 设计 以 外 ， 
还 必须 在 稳定 性 等 方面 做 专门 的 优化 和 改进 。 
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承载 网 概述 〈 续 ) 


对 于 用 户 来 说 这 个 网 络 是 透明 的 ， 用 户 也 不 关心 网 络 的 实现 细 
节 ， 但 肯定 会 关注 网 络 的 性 能 ， 这 关系 到 他 们 的 切身 体会 ， 而 
用 户 所 关注 的 网 络 性 能 中 最 为 重要 的 就 是 可 靠 性 。 

为 了 实现 端 到 端的 网 络 可 靠 性 ， 则 对 于 任何 地 方 的 单 点 故障 都 
要 有 相应 的 HA 技术 作为 可 靠 性 的 保证 。 
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OEE: 


承载 网 概述 


IP FRR 应 用 


LDP/TE FRR 





VPN FRR 
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在 转发 模块 中 建立 一 张 端口 状态 表 , (保存 设备 中 每 个 端口 的 工作 
状态 。 当 检测 到 端口 不 能 正常 工作 时 《如 物理 链 路 失效 或 人 工 操 
作 将 端口 关闭 ) ， 立 即 更 新 端 同 状态 表 。 

同时 ， 在 报 文 转发 过 程 中 ， 如 果 查 转发 表 得 到 的 表 项 含有 负载 分 
担 项 〈 既 有 多 个 下 一 跳 ) ,4 在 按照 某 种 规则 选 定 一 个 下 一 跳 后 ， 
在 端口 状态 表 中 检查 这 个 下 广 跳 出 端口 的 状态 ， 如 果 状 态 为 失效 ， 
则 使 用 另 一 个 下 一 跳 进行 尝试 ， 直 至 遍历 全 部 负载 分 担 项 为 止 。 
在 检测 到 最 后 一 个 负载 分 担 项 时 可 以 不 再 检查 出 端口 的 状态 ， 而 
直接 使 用 这 个 下 一 跳 发 送 报 文 。 

由 于 检测 并 更 新 端口 状态 的 动作 比 路 由 收敛 的 动作 快 的 多 ， 所 以 
本 技术 可 以 使 重 路 由 功能 快速 生效 ， 并 充分 利用 转发 表 中 的 多 个 
负载 分 担 项 实现 高 可 靠 性 的 数据 转发 。 

增强 的 IPARR 技 术 支 持 非 等 价 负载 分 担 的 下 一 跳 ，IP 路 由 有 一 个 
HA 下 下 跳 ， 由 IGP 计 算 决 定 ， 并 手工 配置 一 个 备用 端口 (下 一 
跳 ) 六 在 故障 时 快速 切换 。 
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IP FRR 应 用 


IP FRR 技术 多 用 于 接 入 端点 路 由 器 下 行 接口 故障 ， 以 下 图 为 
例 介 绍 IP FRR 的 应 用 : 


xX 
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通常 还 使 用 BFD 技 术 来 快速 检测 链 路 的 故障 ， 配 合 IP FRR 做 倒 换 。 
即 在 CE 至 PE1 直 接 部 署 BFD。 
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IP FRR 应 用 《〈 续 ) 


如 上 图 所 示 ， 去 往 CE 的 流量 经 过 PE-1( 主 用 PE) 转 发 ， 如 果 

PE-1 到 CE 的 链 路 出 现 故障 ， 此 时 我 们 使 用 IP FRR 切换 到 PE-1 

到 PE-2 的 链 路 。FRR 的 原理 归根 到 底 都 是 转发 层面 保持 备份 N 
的 路 径 ， 以 做 到 快速 切换 。 同 样 此 处 使 用 IP FRR 时 ，PE-1 到 

达 CE 的 路 径 有 两 条 ， 一 是 通过 直 连 路 径 ， 另 外 一 条 就 是 通过 
PE-1 到 达 PE-2 再 转发 到 CE。 因 为 一 般 CE 接 入 都 会 使 用 

L3VPN, ， 因 此 此 处 的 IP FRR 也 是 使 用 在 私 网 下 。 这 样 我 们 PE- 

1 和 PE-2 之 间 需 要 建立 私 网 的 邻居 ， 可 以 在 PE-1 上 实现 到 达 

CE 有 主 备 路 径 。 
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在 路 由 收敛 前 ， 通 过 备份 下 一 跳 将 流量 切换 至 备份 下 一 跳 指定 的 
链 路 ，IP FRR 起 作用 。 在 路 由 收敛 后 号 按照 路 由 选择 的 新 的 链 路 
转发 ，IP FRR 的 接口 备份 使 命 结 束 举 可见 ， 备 份 下 一 跳 的 作用 是 
填补 了 路 由 收敛 的 时 间 间 隐 上 N 通 过 将 流量 快速 切换 到 备份 下 一 跳 
的 备份 链 路 ， 保 证 业务 不 中 断 。 
IP FRR 针对 IP 网 络 路 由 而 设计 ， 分 为 公 网 |P FRR 和 私 网 IP FRR: 
。 公 网 IP FRR 注 用 于 保护 公 网 路 由 器 。 
。 私 网 IP FRR: 用 于 保护 CE 路 由 器 。 
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OEE: 


IP FRR 应 用 
LDP/TE FRR 应 用 
VPN FRR 
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LDP FRR 
。 传统 的 IP FRR 无 法 有 效 保护 MPLS 网 络 中 的 流量 ， 
NE80E/40E 提 供 LDP FRR 功 能 ， 为 MPLS 网 络 提 供 端 口 级 的 
保护 方案 。 
与 IGP 快 速 收敛 相 比 ，LBP FRR 事 先 计 算 备 份 端 口 ， 省 去 了 
故障 发 生 后 的 路 由 计算 时 间 以 及 LSP 重 新 建立 的 时 间 ， 加 快 
了 保护 倒 换 的 速度 
。 LDP 工 作 在 下 游 自 主 标签 分 发 (DU) 、 有 序 标签 控制 
(Ordered 往 以 及 自由 标签 保持 方式 (Liberal) ， 所 以 LSR 会 
保存 所 有 收 到 的 标签 映射 ,但 只 有 从 FEC 对 应 路 由 的 下 一 跳 
发 送 来 的 标签 映射 会 生成 标签 转发 表 。 
。 利用 这 一 特点 ， 如 果 为 Liberal 标 签 映 射 也 生成 标签 转发 表 ， 
就 相当 于 建立 了 备份 LSP。 
网 络 运 行 正常 时 ， 使 用 正常 的 LSP 转 发 ， 如 果 正 常 LSP 的 出 接 
口 Down， 使 用 备份 LSP 转 发 ， 这 样 可 以 在 网 络 收敛 之 前 的 短 
时 间 内 保证 流量 不 中 断 。 
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LDP/TE FRR 应 用 


LDP/TE FRR 多 用 于 中 间 节 点 或 中 间 节 点 相 邻 链 路 故障 ， 以 下 
图 为 例 介绍 LDP/TE FRR 的 应 用 : 
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MPLS TE FRR 是 现 有 的 解决 故障 快速 倒 换 的 常用 的 技术 之 一 ， 它 
的 基本 思路 是 在 两 个 PE 设备 之 间 建 立 端 到 端的 TE 隧道 ， 并 且 为 需 
要 保护 的 主 用 LSP 事 先 建立 好 备用 LSP， 当 设备 检测 到 主 用 LSP 不 
可 用 时 (节点 故障 或 者 链 路 故障 ) 将 流量 倒 换 到 备用 LSP 上 ， 
从 而 实现 业务 的 快速 倒 换 。 

从 MPLS TE FRR 技 术 的 原理 看 ， 对 于 作为 TE 隧道 起 始点 和 终结 
点 的 两 个 PE 设备 之 间 的 链 路 故障 和 节点 故障 ，MPLS TE FRR 能 
够 实现 快速 的 业务 倒 换 。 

但 是 这 种 技术 不 能 解决 作为 隧道 起 始点 和 终结 点 的 PE 设备 的 故障 。 
一 旦 PE 节点 发 生 故 障 ， 只 能 通过 端 到 端的 路 由 收敛 、LSP 收 敛 来 
恢复 业务 ， 其 业务 收敛 时 间 与 MPLS VPN 内 部 路 由 的 数量 、 承 载 
网 的 跳 数 密切 相关 。 在 典型 组 网 中 一 般 在 5s 左 右 ， 无 法 达到 节点 
故障 端 到 端 业 务 收敛 小 于 1s 的 要 求 。 
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LDP/TE FRRIVFA (2%) 


如 上 图 ， 承 载 网 使 用 LDP 作 为 公 网 隧道 ， 在 P 路 由 器 之 间 启 用 TE 保 
障 Qos。 这 种 部 署 增强 了 全 网 的 Qos 能 力 ， 同 时 也 降低 了 更 换 PE 设 
备 带 来 的 TE 部 署 的 困难 。 在 没有 传输 的 情况 下 ， 如 果 故 障 发 生 在 P1 X 
到 P2 之 间或 者 P2 故 障 ， 那 么 在 P1 本 地 开始 TE FRR 切换 ， 保 证 切换 
时 间 在 50ms 之 内 ， 对 LDP 的 业务 基本 不 产生 影响 。 如 果 故 障 发 生 和 在 
PE1 到 P1 的 链 路 ， 或 者 P1 故 障 ，LDP FRR 在 PE1 上 切换 ， 保 证 切换 
时 间 在 50ms 之 内 。 

上 述 的 情况 ， 有 一 个 前 提 是 没有 传输 设备 ， 因 为 如 果 中 间 有 传输 设 
备 ， 并 且 传 输 中 间 的 链 路 产生 问题 ， 那 么 我 们 的 路 由 器 并 契 会 感知 
到 光电 信号 的 中 断 ， 因 此 无 法 产生 切换 ， 此 时 ， 我 位 恋 须要 另外 一 
套 机 制 来 检测 传输 链 路 ， 那 就 是 8FD 和 OAM。 
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故障 检测 : 
。 链 路 保护 直接 使 用 链 路 层 协议 实现 故障 检测 和 通告 ， 链 路 层 
发 现 故障 的 速度 与 链 路 类 型 直接 相关 。 节 点 保护 则 使 用 链 路 
协议 检测 链 路 故障 ,得 链 路 没有 故障 检测 功能 的 情况 下 ， 可 
以 通过 配置 BFD 机 制 检测 被 保护 节点 的 故障 。 
。 对 于 节点 保护 ， 只 保护 被 保护 节点 及 其 与 PLR_ (Point of 
Local Repair 本 地 修复 节点 : Bypass CR-LSP 的 入 节点 ， 必 
须 在 主 CR-ESP 的 路 径 上 ， 可 以 是 主 CR-LSP 的 入 节点 ， 但 不 
能 是 主 CR<ESP 的 出 节点 ) 之 间 的 链 路 。 对 于 被 保护 节点 和 
MP (Merge Point: 汇聚 点 。Bypass CR-LSP 的 出 节点 ， 必 
须 在 主 CR-LSP 的 路 径 上 ， 并 且 不 能 是 主 CR-LSP 的 入 节点 ) 
之 间 的 链 路 故障 ，PLR 无 法 感知 。 
无 论 是 检测 到 链 路 故障 还 是 节点 故障 ， 最 终 都 会 导致 PLR 上 的 出 
接口 被 置 为 老化 状态 。 出 接口 老化 就 会 触发 FRR 的 流量 切换 。 
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使 目录 


载 网 概述 
IP FRR 
LDP/TE FRR 


VPN FRR 应 用 
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为 了 达到 相 邻 节点 业务 倒 换 小 于 50ms》 端 到 端 业务 收敛 小 于 1s 的 
要 求 ，MPLS TE FRR 技术 、1IGR 路 由 快速 收敛 技术 都 应 运 而 生 ， 
但 是 它们 都 无 法 解决 在 CE 双 归 RE 的 网 络 中 ，PE 设 备 节点 故障 时 
的 端 到 端 业务 快速 收敛 的 问题 。 

VPN FRR 利 用 基于 VPN 的 私 网 路 由 快速 切换 技术 ， 通 过 预先 在 远 
端 PE 中 设置 指向 主 用 PE 和 备用 PE 的 主 备 用 转发 项 ， 并 结合 PE 故 
障 快速 探测 ， 旨 在 解决 CE 双 归 PE 的 MPLS VPN 网 络 中 ，PE 节 点 
故障 导致 的 端 到 端 业务 收敛 时 间 长 〈 大 于 1s) 的 问题 。VPN FRR 
简单 可 靠 ， 部 署 方 便 ” 而 且 除 了 PE 之 间 的 故障 快速 检测 机 制 之 外 ， 
不 依赖 于 周边 设备 的 配合 。 
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VPN FRR 应 用 


VPN FRR 多 用 于 远 端 接 入 端点 路 由 器 (PE) 节 点 故障 ， 以 下 图 
为 例 介绍 VPN FRR 的 应 用 : 
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当 L3 VPN 中 承载 了 大 量 的 路 由 时 ， 按 照 传统 的 收敛 技术 ， 当 远 端 
PE 出 现 故障 时 ， 所 有 这 些 VPN 路 由 都 需要 重新 迭代 到 新 的 隧道 上 ， 
端 到 端 业 务 故 障 收敛 的 时 间 与 MPN 路 由 的 数量 相关 ，VPN 路 由 数 
量 越 大 ， 收 敛 时 间 越 长 。 而 对 于 VRN FRR 技 术 ， 我 们 只 需要 检测 
并 修改 这 些 VPN 路 由 迭代 的 外 层 公 网 隧道 在 转发 引擎 中 的 状态 ， 

无 论 转 发 流量 命中 的 是 哪 条 YPN 路 由 ， 流 量 都 会 切换 到 VPN FRR 
的 备份 路 径 上 ， 其 收 售 时 间 吕 取决 于 远 端 PE 故障 的 检测 并 修改 转 
发 引擎 中 对 应 公 网 隧道 状态 的 时 间 ， 而 与 VPN 路 由 的 数量 无 关 。 
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VPN FRR 应 用 《 续 ) 


承载 网 边缘 接 入 路 由 器 ， 如 上 图 VPNA 双 归 接 入 PE3、PE4，VPNA 双 归 接 

A, 在 PE1 上 到 达 VPN A 会 有 两 个 出 口 PE (PE3，PE4) ， 这 种 情况 下 ， 我 

们 可 以 让 PE3 和 PE4 互 为 备份 ， PE1 上 针对 PE3 和 PE4 的 互相 备份 ， 我 们 称 K 
作 VPN FRR. VPN FRR 和 所 有 的 FRR 相同 ， 事 先 总 会 存在 一 个 可 用 的 备份 

路 径 ， 在 主 路 径 失效 的 情况 下 ， 能 够 做 到 快速 切换 。VPN FRR 就 是 事先 对 

于 远 端 PE 收 到 的 私 网 路 由 保存 两 个 下 一 跳远 端 PE) ， 这 样 我 们 可 以 确立 

一 个 为 主 ， 一 个 为 备 ， 选 择 主 备 PE 的 规则 是 由 用 户 自己 控制 的 。 
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VPN FRR 应 用 〈 续 ) 


对 于 上 图 而 言 ， PE1 上 ， 对 于 远 端 VPN A 的 路 由 ， 存 在 两 个 下 一 跳 分 别 为 
PE3、PE4， 此 时 PE1 上 面 就 可 以 选择 PE3、PE4 其 中 一 个 为 主 用 的 下 一 跳 ， 

另外 一 个 为 备用 的 下 一 跳 。 在 没有 配置 VPN FRR 的 情况 下 ， 控 制 层面 只 会 K 
对 转发 层面 下 发 一 个 主 用 的 下 一 跳 ， 当 主 用 下 一 跳 失 效 以 后 ， 备 用 下 一 跳 再 

下 发 到 转发 层面 ， 这 个 速度 是 比较 慢 的 ;在 配置 了 VPN FRR 以 后 ， 控 制导 

面 会 把 两 个 下 一 跳 都 下 发 到 转发 层面 ， 这 样 在 主 用 的 下 一 跳 失 效 以 后 , 借用 

的 下 一 跳 在 转发 层面 能 够 做 到 快速 的 使 用 ， 提 高 了 切换 速度 ， 加 上 探测 主 丰 

一 跳 即 主 PE 失效 的 时 间 ， 使 用 BFD 可 以 做 到 在 100ms 左 右 的 时 间 肉 进行 切 

换 ， 实 现 了 相当 高 的 可 靠 性 。 
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O 总 结 


本 课程 主要 介绍 了 以 下 内 容 : 

承载 网 的 基本 概念 

各 种 可 靠 性 技术 (IP FRR，LDP/TE FRR, VPN FRR) 的 应 
用 实例 
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IP QoS 概 述 
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— 一 一 
© ai A 
在 传统 的 IP 网 络 中 ， 所 有 的 报 文 都 被 无 区 别 的 等 同 对 待 ， 对 报 文 传送 的 可 
靠 性 、 传 送 延迟 等 性 能 不 提供 任何 保证 。 
随 着 |P 网 络 上 新 应 用 的 不 断 出 现 ， 对 IP 网 络 的 服务 质量 也 提出 了 新 的 要 求 N 


， 例 如 VolP 等 实时 业务 就 对 报 文 的 传输 延迟 提出 了 较 高 要 求 ， 如 果 报 文 
传送 延 时 太 长 ， 用 户 将 不 能 接受 (相对 而 言 ， E-Mail 和 FTP 业 务 对 时 间 既 

















迟 并 不 敏感 ) 。 为 了 支持 具有 不 同 服务 需求 的 语音 、 视 频 以 及 数据 等 业务 
， 要 求 网 络 能 够 区 分 出 不 同 的 通信 ， 进 而 为 之 提供 相应 的 服务 。 传 统 疏 网 
络 的 尽力 服务 不 可 能 识别 和 区 分 出 网 络 中 的 各 种 通信 类 别 ， 而 具备 通信 类 
别 的 区 分 能 力 正 是 为 不 同 的 通信 提供 不 同 服务 的 前 提 ， 所 以 说 传统 网 络 的 
尽力 服务 模式 已 不 能 满足 应 用 的 需要 。 

QoS 技术 致力 于 解决 这 个 问题 。 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 


。 理解 IP QoS 的 基本 原理 。 
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IP QoS 的 业务 需求 


传统 的 IP 网 络 


主要 承载 数据 业务 ， 采 用 尽力 传送 (Best Effort) 的 方式 ， 服 务 质量 显 和 
无 关 紧 要 。 














当前 的 IP 网 络 


近年 来 ， 随 着 以 IP 技 术 为 核心 的 Internet 的 飞速 发 展 ， 以 及 各 种 新 业务 的 
EI (VoIP、VPN、ERP 等 ) ，IP 网 络 已 由 一 个 单纯 的 数据 网 络 转变 为 
具有 商业 价值 的 承载 网 ， 因 此 IP 网 络 必须 为 其 所 承载 的 每 一 关 业 务 提 供 
相应 的 服务 质量 。 
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在 传统 的 IP 网 络 中 ， 所 有 的 报 文 都 被 无 区 别 的 等 同 对待 ， 每 个 路 
由 器 对 所 有 的 报 文 均 采用 先入 先 出 (FIFO) 的 策略 进行 处 理 ， 它 
尽 最 大 的 努力 (Best-Effort) 将 报 文 送 到 目的 地 ， 但 对 报 文 传送 的 
可 靠 性 、 传 送 延 迟 等 性 能 不 提供 任何 保证 。 

随 着 IP 网 络 上 新 应 用 的 不 断 出 现 ， 对 IP 网 络 的 服务 质量 也 提出 了 
新 的 要 求 ， 例 如 VolP (Voice over IP，IP 语 音 ) 等 实时 业务 就 对 
报 文 的 传输 延迟 提出 等 较 高 要 求 ， 如 果 报 文 传送 延 时 太 长 ， 将 是 
用 户 所 不 能 接受 的 给 为 了 支持 具有 不 同 服务 需求 的 语音 、 祝 频 以 
及 数据 等 业务 ， 要 求 网 络 能 够 区 分 出 不 同 的 通信 ， 进 而 为 之 提供 
相应 的 服务 .A 传 统 IP 网 络 的 尽力 服务 不 可 能 识别 和 区 分 出 网 络 中 
的 各 种 通信 类 别 ,传统 网 络 的 尽力 服务 模式 已 不 能 满足 应 用 的 需 
Ko QoS (Quality of Service ， 服 务 质量 ) 技术 的 出 现 便 致力 于 
解决 这 个 问题 。 

QoS 旨 在 针对 各 种 应 用 的 不 同 需求 ， 为 其 提供 不 同 的 服务 质量 ， 
例 姐 : 提供 专用 带宽 、 减 少 报 文 丢 失 率 、 降 低 报 文 传送 时 延 及 时 
AAS. 
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IP QoS 的 概念 


QoS: Quality of Service， 即 服务 质量 


IP QoS 是 指 IP 网 络 的 一 种 能 力 ， 即 在 跨越 多 种 底层 网 络 技术 (MP, FRY 
ATM、Ethernet、SDH、MPLS 等 ) 的 IP 网 络 上 ， 为 特定 的 业务 提供 其 所 需 
要 的 服务 。 服 务 质量 包括 : 


。 传输 的 带宽 
。 传输 的 时 延 和 抖动 
。 数据 的 丢 包 率 
网 络 中 存在 资源 竞争 ， 就 存在 对 服务 质量 的 要 求 
提高 某 类 业务 的 服务 质量 同时 也 会 损害 其 它 业务 的 服务 质量 
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QoS, MSX, Quality of Service 人 服务 质量 。 对 于 网 络 业 务 
来 说 ， 服 务 质量 包括 哪些 方面 呢 ? 从 传统 意义 上 来 讲 ， 无 非 就 是 
传输 的 带宽 、 传 送 的 时 延 、 数 据 的 委 包 率 等 ， 而 提高 服务 质量 无 
非 也 就 是 保证 传输 的 带宽 ， 降 低 传送 的 时 延 和 时 延 拌 动 ， 降 低 数 
据 的 丢 包 率 等 。 广 义 上 讲 , ,服务 质量 涉及 网 络 应 用 的 方方面面 ， 
只 要 是 对 网 络 应 用 有 利 的 措施 ， 其 实 都 是 在 提高 服务 质量 。 因 此 ， 
从 这 个 意义 上 来 说 , GATS 策略 路 由 、 快 速 转发 等 也 都 是 提高 
网 络 业务 服务 质量 的 措施 之 一 。 

但 是 ， 服 务 质量 叉 是 相对 网 络 业务 而 言 的 ， 在 保证 了 某 类 业务 的 
服务 质量 的 同时 ， 可 能 也 在 损害 其 它 业 务 的 服务 质量 。 因 为 网 络 
资源 总 是 有 限 的 ,只 要 存在 竞争 网 络 资源 的 情况 ， 就 会 出 现 服务 
质量 的 要 求 。 比 如 ， 网 络 总 带宽 为 100Mbps， 而 BT 下 载 占用 了 
90Mbps， 其 他 业务 就 只 能 占用 剩 下 的 10Mbps。 而 如 果 限 制 BT 下 
载 占 用 的 最 大 带宽 为 50Mbps， 则 也 就 提高 了 其 他 业务 的 服务 质量 ， 
使 其 他 业务 能 够 占用 最 少 50Mbps 的 带宽 ， 但 是 这 是 在 损害 BT 业 
务 的 服务 质量 为 前 提 的 。 
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Be 
BWmax = Min(100M, 10M,256k,2M, 1G) = 256kbps 


100Mbps 10Mbps 256kbps 2Mbps 


= 





BW max = 256kbps 














木 桶 理论 : 最 大 带宽 BWmox 等 于 数据 传输 路 径 上 的 最 小 带宽 。 | 
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带宽 决定 数据 传输 的 速率 ， 例 如 100Mbps 的 带宽 意味 着 在 理论 上 
数据 可 以 以 100M 比 特 每 秒 的 速率 进行 传输 。 

整个 传输 途径 的 带宽 取决 于 这 条 途径 上 的 最 小 链 路 带宽 。 如 图 所 
示 ， 尽 管 传 输 途 径 上 的 最 大 的 一 段 链 路 带宽 是 1Gbps， 但 是 数据 
从 PC 传 到 服务 器 ， 最 大 的 传输 速率 只 能 是 256kbps ， 因 为 传输 的 
最 大 带宽 是 由 传输 路 径 上 的 最 小 链 路 带宽 决定 的 。 正 是 因为 这 样 ， 
带宽 小 的 链 路 是 影响 传输 速率 的 关键 。 





G 





第 
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端 到 端 时 延 


EHRE SETZE 时 延 
传 辆 时 延 处 理 时 延 pame OE aane pee SE 





端 到 端 时 延 等 于 路 径 上 所 有 传输 时 延 、 处 理 时 延 与 陕 烈 时 延 之 和 。 
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端 到 端的 时 延 由 传输 时 延 、 处 理 时 延 和 队列 时 延 组 成 。 

传输 时 延 又 叫 串 行 化 时 延 ， 它 的 闫 小 在 很 大 程度 上 取决 于 带宽 的 
大 小 。 

处 理 时 延 是 指 路 由 器 把 数据 包 从 入 接口 放 到 出 接口 队列 需要 的 时 
间 ， 它 的 大 小 跟 路 由 器 的 处 理性 能 有 关 。 

队列 时 延 指数 据 包 在 出 口 队列 中 停留 的 时 间 ， 它 的 大 小 跟 队 列 中 
数据 包 的 大 小 和 数量 ` 汰 宽 以 及 队列 机 制 有 关 。 

另 一 个 与 时 延 相 关 的 概念 是 时 延 抖 动 ， 时 延 抖动 是 由 于 属于 同一 
个 流 的 数据 包 的 端 到 端 时 延 不 相等 造成 的 ， 一 般 来 说 ， 时 延 越 小 
则 时 延 抖 动 的 范围 越 小 。 
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拌 动 是 因为 每 个 包 的 端 到 端 时 延 不 相等 造成 的 。 
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拉动 是 由 于 属于 同一 个 流 的 数据 包 的 端 到 端 时 延 不 相等 造成 的 。 
图 中 源 端 等 间隔 发 送 数据 包 ， 因 为 每 不 数据 包 的 端 到 端 时 延 不 一 
样 导致 这 些 包 不 能 等 间隔 到 达 自 的 端 ， 这 种 现象 叫做 拌 动 。 

拌 动 的 大 小 跟 时 延 的 大 小 直接 相 状 ， 时 延 小 则 拌 动 的 范围 也 小 ， 
时 延 大 则 可 能 的 拉动 范围 也 大 。 
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丢 包 可 能 在 传输 过 程 的 每 一 个 环节 发 生 ， 
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丢 包 可 能 在 所 有 环节 上 发 生 ， 比 如 : 

路 由 器 在 收 到 数据 包 的 时 候 因 为 CPU 繁忙 ， 没 办 法 处 理 数据 包 ， 
导致 丢 包 ，; 

在 把 数据 包 调 度 到 队列 的 时 候 因为 队列 满 而 导致 丢 包 ; 

数据 包 在 链 路 上 传输 的 时 候 因为 种 种 原因 ( 链 路 故障 、 冲 突 ) 等 
导致 的 丢 包 。 

在 很 多 时 候 ， 丢 包 一 般 是 因为 队列 满 造 成 的 ， 在 队列 满 的 时 候 ， 
一 般 采 用 尾 丢弃 (把 最 后 到 达 的 包 丢 弃 ) 来 进行 丢 包 。 
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QoS 服务 模型 


QoS 根据 网 络 质量 和 用 户 需 求 ， 通 过 不 同 的 服务 模型 为 用 户 提供 服务 。 通 
常 QoS 提供 以 下 三 种 服务 模型 : 
e Best-Effort Service 模 型 : 是 最 简单 的 服务 模型 。 应 用 程序 可 以 在 任何 时 候 ， 
发 出 任意 数量 的 报 文 ， 而 且 不 需要 事先 获得 批准 ， 也 不 需要 通知 网 络 。 


。 Integrated Service 模 型 :是 一 个 综合 服务 模型 ， 它 可 以 满足 多 种 QoS 需 求 
这 种 服务 模型 在 发 送 报 文 前 ， 需 要 向 网 络 申请 特定 的 服务 。 


。 Differentiated Service 模 型 : 是 通过 设置 报 文 头 部 的 QoS 参数 信息 ， 来 告知 网 
络 节点 它 的 QoS 需求 。 报 文 传播 路 径 上 的 各 个 路 由 器 都 可 以 通过 对 报 文 头 的 
分 析 来 获知 报 文 的 服务 需求 类 别 。 
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1. Best-Effor Servicet: ”尽力 而 为 的 服务 模型 ，Best-Effort 是 一 
个 单一 的 服务 模型 ， 也 是 最 简单 的 服务 模型 。 应 用 程序 可 以 在 任 
何 时 候 ， 发 出 任意 数量 的 报 文 总 而 县 不 需要 事先 获得 批准 ， 也 不 
需要 通知 网 络 。 对 Best-Effoft 服 务 \ 网 络 尽 最 大 的 可 能 性 来 发 送 报 
文 ， 但 对 时 延 、 可 靠 性 等 性 能 不 提供 任何 保证 。 Best-Effort 服 务 
是 现在 Internet 的 缺 省 服务 模型 ， 它 适用 于 绝 大 多 数 网 络 应 用 ， 如 
FTP、E-Mail 等 ， 它 通过 先入 先 出 (FIFO) 队列 来 实现 。 

2. IntServ (Integrated Service) 集成 服务 模型 。 Intserv 是 一 个 
综合 服务 模型 ， 它 可 以 满足 多 种 QoS 需 求 。 这 种 服务 模型 在 发 送 
报 文 前 ， 需 要 向 网 络 申 请 特定 的 服务 。 这 个 请 求 是 通过 信 令 
(signal) 来 完成 的 。 应 用 程序 首先 通知 网 络 它 自己 的 流量 参数 和 
需要 的 特定 服务 质量 请 求 ， 包 括 带宽 、 时 延 等 ， 应 用 程序 一 般 在 
收 到 网 络 的 确认 信息 ， 即 确认 网 络 已 经 为 这 个 应 用 程序 的 报 文 预 
留 予 资源 后 ， 才 开始 发 送 报 文 。 同 时 应 用 程序 发 出 的 报 文 应 该 控 
制 在 流量 参数 描述 的 范围 以 内 。 

网 络 在 收 到 应 用 程序 的 资源 请 求 后 ， 执 行 资源 分 配 检查 
(Admission control) ， 即 基于 应 用 程序 的 资源 申请 和 网 络 现 有 
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的 资源 情况 ， 判 断 是 否 为 应 用 程序 分 配 资源 。 一 旦 网 络 确认 为 应 
用 程序 的 报 文 分 配 了 资源 ， 则 只 要 应 用 程序 的 报 文 控制 在 流量 参 
数 描述 的 范围 内 ， 网 络 将 承诺 满足 应 用 程序 的 QoS 需 求 。 而 网 络 
将 为 每 个 流 (flow， 由 两 端的 IP 地 址 、 端 口号 、 协 议 号 确定 ) 维护 
一 个 状态 ， 并 基于 这 个 状态 执行 报 文 的 分 类 、 流 量 监管 
(policing) 、 排 队 及 其 调度 ， 来 实现 对 应 用 程序 的 承诺 。 xX 
在 IntServ 服 务 模型 中 ， 负 责 传送 QoS 请 求 的 信 令 是 RSVP 
(Resource Reservation Protocol， 资 源 预 留 协议 ) ， 它 通知 路 
由 器 应 用 程序 的 QoS 需求 。RSVP 是 在 应 用 程序 开始 发 送 报 文 之 前 
来 为 该 应 用 申请 网 络 资源 的 ， 所 以 是 带 外 (out-bind) 信 令 。 
IntServ 可 以 提供 以 下 两 种 服务 : 

(1)、 保 证 服务 (Guaranteed service) ” 它 提 供 保证 的 带宽 和 时 延 
限制 来 满足 应 用 程序 的 要 求 。 如 VolP 应 用 可 以 预 留 10M 带 宽 和 要 
求 不 超过 1 秒 的 时 延 。 

(2)、 负 载 控制 服务 (Controlled-Load service) ” 它 保证 即使 在 网 
络 过 载 (overload) 的 情况 下 ， 能 对 报 买 提供 近似 于 网 络 未 过 载 
类 似 的 服务 ， 即 在 网 络 拥塞 的 情况 下 ,= 保证 某 些 应 用 程序 的 报 文 
低 时 延 和 高 通过 。 

3、DiffServ (Differentiated Service) 差分 服务 模型 。 
Differentiated Service 模型 即 区 分 服务 模型 ， 简 称 Diff-Serv。 在 采 
用 Diff-Serv 模型 的 应 用 电 ， 应 用 程序 在 发 送 报 文 前 不 必 有 预先 向 网 
络 提出 资源 申请 ， 而 是 通过 设置 IP 报 文 头 部 的 QoS 参数 信息 ， 来 
告知 网 络 节点 它 的 QoS 需求 。 报 文 传播 路 径 上 的 各 个 路 由 器 都 可 
以 通过 对 IP 报 文 头 的 分 析 来 获知 报 文 的 服务 需求 类 别 。 

在 实施 Diff-Serv 时 ， 接 入 路 由 器 需要 对 报 文 进行 分 类 ， 并 在 IP 报 
文 头 部 标记 服务 类 别 。 下 游 的 路 由 器 只 需 简 单 地 识别 这 些 服务 类 
别 ， 并 进行 转发 。 因 此 ，Diff-Serv 是 一 种 基于 报 文 流 的 QoS 解决 


方案 。 
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IP 网 络 中 的 Diff-Serv 模型 


一 般 来 讲 ， 在 提供 由 网 络 的 QoS 时 ， 为 了 适应 不 同 规模 的 网 络 ， 在 IP 
骨干 网 往往 需要 采用 DiffServ 体 系 结构 。Diff-Serv 网 络 结构 示意 图 : 





DS domain 








Non-DS domain Non-DS domain 
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实现 了 Diff-Serv 功能 的 网 络 结 点 称 为 DS 节点 。DS (DS Domain) 
域 由 一 组 采用 相同 的 服务 提供 策略 和 实现 了 相同 PHB (Per-Hop 
Behavior) 集合 的 相连 DS 节点 组 成 》 如 上 图 所 示 。 

DS 节点 分 为 两 种 : 

1、DS 边界 节点 ， 用 于 将 DS 域 和 非 DS 域 连接 在 一 起 。DS 边界 
节点 需 根据 域 间 制定 的 流量 控制 协定 TCA (Traffic Conditioning 
Agreement) 进行 流量 控制 并 设置 报 文 的 DSCP (Differentiated 
Services CodePoint). 值 。 

2、DS 内 部 节点 ,用 于 在 同一 个 DS 域 中 连接 DS 边界 节点 和 其 
他 内 部 节点 Y BS 内 部 节点 仅 需 基于 DSCP 值 进行 简单 的 流 分 类 以 
及 对 相应 的 流 实施 流量 控制 
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DiffServ 模 型 的 几 个 重要 概念 


DSCP (DiffServ Code Point) 


IP 优先 级 
IPv4 报 文 头 


RFC1349 
目前 未 用 


RFC2474 


DSCP 目前 未 用 
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在 IP 报 文中 有 专门 的 字段 进行 QoS 的 标记 # 在 IPV4 中 为 ToS ， 

IPv6 中 为 TrafficClass。ToS 字 段 用 前 6bit 来 标记 DSCP， 如 果 只 
前 3 bit 就 为 IP 优 先 级 。DSCP 和 IP 优 先 级 都 是 标记 的 标准 。 

IP 优 先 级 提供 0-7 共 8 种 服务 质量 , 6 和 7 都 保留 所 以 常用 的 是 0-5， 
每 个 数字 都 对 应 一 个 名 称 ,。 比 如 0 对 应 Routine ， 这 样 在 更 改 数据 
包 优 先 级 等 配置 时 ， 既 可 以 用 数字 也 可 以 用 名 称 。 

注意 优先 级 中 的 数字 本 身 没有 实际 的 意义 ， 标 记 为 5 的 数据 优先 级 
不 一 定 就 比 标 记 为 0 的 高 ， 只 是 一 个 分 类 标准 而 已 。 真 正 的 操作 是 
在 配置 上 针对 不 同 的 优先 级 采取 不 同 的 措施 ， 比 如 什么 标识 的 数 
据 包 属 于 什 公 队列 。 

不 管 是 IP 优 先 级 还 是 DSCP 都 是 用 自己 的 前 3bit 和 二 层 的 CoS 值 形 
成 映射 4 

在 二 层 用 GoS 字 段 进行 标记 ， 正 常 的 以 太 网 帧 是 没有 标记 的 ， 但 
是 在 1SE 的 报头 和 802.1Q 的 Tag 中 都 有 3bit 用 来 定义 服务 级 别 ， 从 
0 到 7 不 过 只 有 0-5 可 用 ，6 和 7 都 保留 。 
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DiffServ 模 型 的 几 个 重要 概念 〈 续 ) 


PHB (Per-Hop Behaviors) ，PHB 是 DS 节点 作用 于 数据 流 的 行为 。 
网 络 管理 员 可 以 配置 DSCP 到 PHB 的 映射 关系 。 如 果 DS 节 点 接收 到 
一 个 报 文 ， 检 查 其 DSCP， 发 现 未 定义 到 PHB 的 映射 ， 则 DS 节 点 将 
选择 采用 缺 省 PHB ( 即 Best-Effort，DSCP=000000) 进行 转发 处 理 。 
每 个 DS 节点 必须 支持 该 缺 省 PHB。 
PHB 的 分 类 ，IETF DiffServ 工 作 组 目前 定义 了 四 种 PHB: 

+ Default PHB 





e Class-Selector PHB 
e Expedited Forwarding PHB 


e Assured Forwarding PHB 
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PHB (Per-Hop Behavior) 是 DS 节点 作用 于 数据 流 的 行为 。 网 络 
管理 员 可 以 配置 DSCP 到 PHB 的 映射 关系 。PHB 是 网 络 节点 对 报 
文 调度 、 丢 包 、 监 管 和 整形 的 处 理光 每 类 PHB 都 对 应 一 组 DSCP; 
PHB 只 定义 了 一 些 外 部 可 见 的 转发 行为 ， 没 有 指定 特定 的 实现 方 
式 。 

目前 ，IETF 定义 了 四 种 标准 的 PHB: 类 选择 码 CS (Class 
Selector) ， 加 速 转发 EFSGExpedited Forwarding) ， 确 保 转 发 
AF (Assured Forwarding) 和 尽力 而 为 BE (Best-Effort) 。 其 中 ， 
BE 是 缺 省 的 PHB。 

1、CS PHB 

CS 表示 类 选择 码 ， 代 表 的 服务 等 级 与 在 现 有 网络 中 使 用 的 IP 
Precedence 相同 4s DSCP WIAA “XXX000”, X WO 或 1。 当 X 
为 全 0 By tz Default PHB. 

2. EF PHB 

DSCPW “101110” RFC2598; 代表 DiffServ 网 络 中 最 高 的 服务 质 
量 , 在 有 带宽 确保 的 情况 下 ， 发 包 速 度 大 于 收 包 速 度 ， 适 用 于 
VelP、 虚 拟 租用 线 等 实时 业务 ; 可 通过 优先 队列 、 低 时 延 队 列 或 
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RTP 实 时 队列 等 多 种 队列 机 制 来 实现 加 速 转发 被 定义 为 这 样 的 一 
种 转发 处 理 : 从 任何 DS 节点 发 出 的 信息 流速 率 在 任何 情况 下 必须 
获得 等 于 或 大 于 设 定 的 速率 。EF PHB 在 DS 域内 不 能 被 重新 标记 。 
仅 允 许 在 边界 节点 重新 标记 EF PHB， 并 且 要 求 新 的 DSCP 满足 
EF PHB 的 特性 。 定 义 EF PHB 的 目标 是 在 DS em 7, 
租用 线 (Virtual Leased Line) 的 转发 效果 ， 提 供 一 种 低 丢 包 率 s 
低 延 迟 、 高 带宽 的 转发 服务 。 

3、AF PHB 

确保 转发 的 推出 是 为 了 满足 这 样 的 需求 。 用 户 在 与 ISPSJ 购 带宽 
服务 时 ， 人 允许 业务 量 超出 所 订购 的 规格 。 对 不 超出 所 订购 规格 的 
流量 要 求 确保 转发 的 质量 ; 对 超出 规格 的 流量 将 降低 服务 待遇 继 
续 转 发 ， 而 不 只 是 简单 地 被 丢弃 。 当 前 定义 了 四 类 AF; 即 AF1、 
AF2、AF3、AF4。 每 一 类 AF 业务 的 分 组 又 下 以 细 分 为 三 种 不 同 
的 丢弃 优先 级 。AF 编码 点 AFij 表示 AF ARAL (T<=i<=4) , BF 
优先 级 为 j (1<=j<=3) 。 运 营 商 在 提供 AR 服务 时 ， 为 每 类 AF 分 
配 不 同 的 带宽 资源 。 对 AF PHB 的 一 个 特别 要 求 是 : 流量 控制 不 
能 改变 同一 信息 流 中 分 组 的 顺序 。 比 如 某 一 业务 流 中 的 不 同 分 
组 归属 同一 AF 类 ， 但 在 流量 监管 时 被 标记 了 的 不 同 的 丢弃 优先 级 ， 
此 时 ， 虽 然 不 同 分 组 的 丢 包 概率 不同 ， 但 是 他 们 之 间 的 相互 顺序 
不 能 改变 。 这 种 机 制 特别 适合 于 多 媒体 业务 的 传输 。 

4、BE PHB 即 传统 的 IP 分 组 投递 服务 ， 只 关注 可 达 性 ， 其 他 方面 
不 做 任何 要 求 。 任 何 路 由 器 必须 支持 BE PHB。 
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QoS 实现 的 相关 技术 


在 Diff-Serv 模型 中 ， 常 见 QoS 特性 应 用 : 





在 DS 域 内 配置 简 
单 流 分 类 ， 队 列 








Non-DS domain Non-DS domain 
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分 类 、 流 量 监管 、 流 量 整 形 、 拥 塞 管理 和 拥塞 避免 是 构造 有 区 
1 地 实施 服务 的 基石 。 流 分 类 是 基础 污 它 依据 一 定 的 匹配 规则 识 
出 报 文 ， 是 有 区 别 地 实施 服务 的 前 提 。 而 流量 监管 、 流 量 整形 
、 拥 塞 管理 和 拥塞 避免 从 不 同方 面 对 网 络 流量 及 其 分 配 的 资源 实 
施 控制 ， 是 有 区 别 地 提供 服务 思想 的 具体 体现 。 它 们 主要 完成 如 


1、 流 分 类 : 依据 一 定 的 匹配 规则 识别 出 对 象 。 流 分 类 是 有 区 别 地 
实施 服务 的 前 提 。 

2、 流 量 监管 : 对 进 六 路 由 器 的 特定 流量 的 规格 进行 监管 。 当 流量 
超出 规格 时 ， 可 以 采取 限制 或 惩罚 措施 ， 以 保护 运营 商 的 商业 利 
益 和 网 络 资源 不 受 损害 。 

3、 流 量 整形 六 一 种 主动 调整 流 的 输出 速率 的 流 控 措施 ， 通 常 是 大 
了 使 流量 适 配 下 游 路 由 器 可 供给 的 网 络 资源 ， 避 免 不 必要 的 报 文 
丢弃 和 拥塞 。 

4X 拥塞 管理 : 网 络 拥塞 时 必须 采取 的 解决 资源 竞争 的 措施 。 通 常 
是 将 报 文 放 入 队列 中 缓存 ， 并 采取 某 种 调度 算法 安排 报 文 的 转发 
次 序 。 
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5、 拥 塞 避免 : 过 度 的 拥塞 会 对 网 络 资源 造成 损害 。 拥 塞 避 免 监督 
网 络 资源 的 使 用 情况 ， 当 发 现 拥塞 有 加 剧 的 趋势 时 采取 主动 丢弃 
报 文 的 策略 ， 通 过 调整 流量 来 解除 网 络 的 过 载 。 


xX 
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Oia 题 


什么 是 QoS? 
QoS 包括 哪些 方面 ? 
常见 的 QoS 服务 模型 有 哪些 ? 


IPv4 报 文中 ，DSCP、ToS 和 IP Precedence 的 关系 ? 
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案 : 


X 


。 QoS: 即 服务 质量 。 

。 QoS 包括 : 传输 的 带宽 入 传输 的 时 延 和 拌 动 ， 数 据 的 丢 包 率 ; 

。 常见 的 QoS 服 务 模型 有 Best-Effort、 IntServ(Integrated 
Service) ~ DiffServ(Differentiated Service). 

e DSCP, TOSUP Precedence 的 区 别 : 在 IPV4 报 文 头 中 ， 有 
1Byte 的 字段 表示 ToS，ToS 字 段 的 高 6bit 可 以 表示 DSCP, 高 
3bit 可 以 表示 IP Precedence. 











第 358 页 HUAWEI TECHNOLOGIES HC Series 














HCDP-IENP ”第 三 章 QoS 





流量 分 类 与 标记 
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ars, 
前 
为 了 在 Internet 上 针对 不 同 的 业务 提供 有 差别 的 QoS 服务 质量 ， 人 们 根据 


报 文 头 中 的 某 些 字段 记录 QoS 信息 ， 从 而 让 网 络 中 的 各 设备 根据 此 信息 提 
供 有 差别 的 服务 质量 。 K 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 理解 分 类 与 标记 的 原理 。 
。 掌握 分 类 与 标记 的 方法 。 
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流量 分 类 和 标记 


流量 分 类 及 标记 是 部 署 QoS 的 基础 
可 以 根据 ACL、 以 及 报 文 自身 信息 对 流量 进行 分 类 
可 以 基于 DSCP、]IP Precedence、802.1P、MPLS EXP 等 信息 对 报 文 进行 标记 X 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 


流量 分 类 是 QoS 技 术 的 基础 ， 是 体现 2 差分 ”服务 的 基石 。 流 量 
分 类 ， 就 是 将 流量 划分 为 多 优先 级 或 多 个 服务 类 ， 如 使 用 IP 报 文 
头 的 ToS (Type of service， 服 务 类 型 ) 字段 的 前 三 位 〈 即 IP 优 先 
级 ) 来 标记 报 文 ， 可 以 将 报 文 最 多 分 成 23 = 8 类 ; 若 使 用 DSCP 
(Differentiated Services Codepoint， 区 分 服务 编码 点 ，ToS 域 的 
的 前 6 位 ) ， 则 最 多 可 分 成 26 = 64 类 。 在 报 文 分 类 后 ， 就 可 以 将 
其 它 的 QoS 特性 应 用 到 不 同 的 分 类 ， 实 现 基 于 类 的 拥塞 管理 、 济 
量 整形 等 。 

对 于 流量 的 分 类 ，, 焉 有 乎 可 以 依据 报 文 的 任何 信息 ， 比 如 可 以 根据 
源 IP 地 址 、 目 的 让 地 址 、 源 端口 号 、 目 的 端口 号 、 协 议 ID 等 进行 
流量 的 分 类 。 

虽然 流量 分 类 几乎 可 以 根据 报 文 的 任何 信息 进行 ， 但 是 流量 的 标 
记 则 一 般 只 对 IP 报 文 的 T0S 域 进行 标记 。 流 量 的 标记 主要 的 目的 就 
是 让 其 他 处 理 此 报 文 的 应 用 系统 或 设备 知道 该 报 文 的 类 别 ， 并 根 
据 这 种 类 别 对 报 文 进行 一 些 事先 约定 了 的 处 理 (PHB) 

例如 ， 在 网 络 的 边界 做 如 下 分 类 和 标记 : 

所 有 VolP 数 据 报 文 聚合 为 EF 业 务 类 ， 将 报 文 的 IP 优 先 级 标记 为 5， 
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或 者 将 DSCP 值 标记 为 EF; 

所 有 VolP 控 制 报 文 聚 合 为 AF 业 务 类 ， 将 报 文 的 IP 优 先 级 标记 为 4， 
或 者 将 DSCP 值 标记 为 AF31。 

当 报 文 在 网 络 边界 被 标记 分 类 之 后 ， 在 网 络 的 中 间 节 点 ， 就 可 以 
根据 标记 ， 对 不 同类 别 的 流量 给 予 差别 服务 了 。 例如 对 上 述 例 了 AL 
中 的 EF 类 业务 保证 时 延 和 减少 抖动 ， 同 时 进行 流量 监管 ; 对 AF 业 
务 类 在 网 络 拥塞 时 仍然 保证 一 定 的 带宽 ， 等 等 。 
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流量 分 类 


流量 分 类 是 按照 一 定 的 规则 识别 符合 某 类 特征 的 报 文 ， 特 征 不 同 

的 报 文 享受 到 的 服务 不 同 。 按 照 分 类 规则 参考 信息 的 不 同 ， 流 

分 类 可 以 分 为 简单 流 分 类 和 复杂 流 分 类 。 x 

。 简单 流 分 类 是 指 采用 简单 的 规则 ， 如 IP 报 文 头 中 的 DSCP/IP-PRE 传 ; 

MPLS 报 文 的 EXP 域 值 ，Vlan 报 文 头 中 的 802.1P 值 对 报 文 进行 粗略 
的 分 类 ， 以 识别 出 具有 不 同 优先 级 或 服务 等 级 特征 的 流量 。 
复杂 流 分 类 是 指 采用 复杂 的 规则 ， 如 综合 链 路 层 、 网 络 层 、 传 输 层 信 
息 (例如 源 MAC 地 址 、 目 的 MAC 地 址 、 源 IP 地 址 、 目 的 IP 地 址 、 
用 户 组 号 、 协 议 类 型 或 应 用 程序 的 TCP/UDP 端口 号 等 ) 对 报 文 进行 
精细 的 分 类 。 通 常 在 Diff-Serv 域 的 边界 路 由 器 上 对 流量 进行 复杂 流 


分 类 。 
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在 采用 Diff-Serv 模型 实施 QoS 时 ， 需 要 路 由 器 识别 各 种 流 ， 因 此 
需要 对 报 文 进行 流 分 类 。 

进行 流 分 类 是 为 了 有 区 别 地 提供 服务 ， 它 必须 与 某 种 流 控 或 资源 
分 配 动作 关联 起 来 才 有 意义 ,具体 采取 何 种 流 控 动作 ， 与 所 处 的 
阶段 以 及 网 络 当 前 的 负载 状况 有 关 。 例 如 ， 当 报 文 进入 网 络 时 依 
据 承 诺 速 率 对 它 进行 监管 ; 流出 结 点 之 前 进行 整形 ; 拥塞 时 的 队 
列 调度 管理 ， 拥 塞 加 剧 时 要 采取 拥塞 避 免 措 施 等 。 

流量 分 类 的 规则 可 以 按照 IP 报 文 头 的 信息 (如 IP 源 地 址 、IP 目 的 
地 址 、 协 议 类 型 DSCP/IP-PRE、TCP/UDP 的 端口 号 、TCP 同 
步 标志 、 报 文 分 片 的 标志 等 ) 、 二 层 报 文 信息 (如 : 源 MAC 地 址 、 
目的 MAC 地 址 、 三 层 报 文 的 封装 类 型 、 VLAN PRIS) ~ MPLS 
报 文 头 信息 (如 EXP、LSP 等 ) 来 分 类 。 
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简单 流 分 类 和 标记 “流量 入 方向 以 
802.1P 为 例 ) 
Ce] E 8 个 优先 级 队列 




















[al 
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8021p=1 8021p=5 
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简单 流量 分 类 是 将 数据 报 文 划 分 为 多 合 优 先 级 或 多 个 服务 类 ， 如 
使 用 IP 报 文 头 的 ToS (Type of service REKE) 字段 的 前 三 位 
( 即 IP 优 先 级 ) 来 标记 报 文 ， 可 以 将 报 文 最 多 分 成 8 类 ; 若 使 用 

DSCP (Differentiated Services Code Point， 区 分 服务 编码 点 ， 
ToS 域 的 前 6 位 ) ， 则 最 多 可 分 成 64 类 。 在 报 文 分 类 后 ， 就 可 以 将 
其 它 的 QoS 特 性 应 用 到 不 同和 的 分 类 ， 实 现 基 于 类 的 拥塞 管理 、 流 
量 整形 等 。 

网 络 管理 者 可 以 设置 报 文 简单 流 分 类 的 策略 ， 这 个 策略 除 可 以 包 
括 IP 报 文 的 IP 优 先 级 或 DSCP 值 、MPLS 报 文 的 EXP 域 值 、802.1p 
的 CoS 值 等 带 内 信 令 。 

通常 于 网 络 边界 处 对 报 文 进 行 分 类 时 ， 同 时 标记 IP 优 先 级 或 DSCP， 
这 样 ， 在 网 络 的 内 部 就 可 以 简单 的 使 用 IP 优 先 级 或 DSCP 作 为 分 类 
的 标准 们 而 队列 技术 如 WFQ，CBWFQ 就 可 以 使 用 这 个 优先 级 来 
对 报 文 进行 不 同 的 处 理 。 下 游 (downstream) 网 络 可 以 选择 接收 
Li (upstream) 网 络 的 分 类 结果 ， 也 可 以 按照 自己 的 分 类 标准 
对 数据 流量 重新 进行 分 类 。 

例如 : 在 网 络 的 边界 做 如 下 分 类 和 标记 : 
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所 有 VolP 数 据 报 文 聚合 为 EF 业 务 类 ， 将 报 文 的 IP 优 先 级 标记 为 5， 
或 者 将 DSCP 值 标记 为 EF ; 

所 有 VolP 控 制 报 文 聚合 AF 业 务 类 ， 将 报 文 的 IP 优 先 级 标记 为 4， 
或 者 将 DSCP 值 标记 为 AF31。 

当 报 文 在 网 络 边界 被 标记 分 类 之 后 ， 在 网 络 的 中 间 节 点 ， 就 可 以 
根据 标记 ， 对 不 同类 别 的 流量 给 予 差别 服务 了 。 例 如 对 上 述 例子 
中 的 EF 业 务 类 保证 时 延 和 减少 抖动 ， 同 时 进行 流量 监管 ; 对 AFM 
务 类 在 网 络 拥塞 时 仍然 保证 一 定 的 带宽 ， 等 等 。 

对 于 MPLS QoS， 所 谓 标记 就 是 MPLS 报 文中 的 EXP 域 进行 设置 。 
EXP 域 包括 3 位 ， 虽 然 RFC 3032 把 它 叫 做 实验 (experimental) 
域 ， 但 它 通常 作为 MPLS 报 文 的 CoS 域 ， 与 IP 网 络 的 ToS 域 等 效 ， 
用 来 区 分 数据 流量 的 服务 等 级 ， 以 支持 MPLS 网 络 的 DiffServ。 
在 IP 网 络 ， 由 IP 报 文 的 IP 优 先 级 或 DSCP 标 误 服 务 等 级 。 但 是 对 于 
MPLS 网 络 ， 由 于 报 文 的 IP 头 对 LSR 设 备 是 不 可 见 的 ， 所 以 需要 在 
MPLS 网 络 的 边缘 对 MPLS 报 文 的 EXP 域 进行 标记 。 

缺 省 的 情况 下 ， 在 MPLS 网 络 的 边缘 [将 上 P 报 文 的 IP 优 先 级 直接 拷 
贝 到 MPLS 报 文 的 EXP 域 ,但 是 在 下 面 的 情况 下 ， 如 ISP 不 信任 用 
户 网 络 ， 或 者 ISP 定 义 的 差别 服务 类 别 不 同 于 用 户 网 络 ， 则 可 以 根 
据 一 定 的 简单 分 类 策略 ， 依 据 内 部 的 服务 等 级 重新 设置 MPLS 报 文 
的 EXP 域 ， 而 在 MPLS 网 络 转 发 的 过 程 中 保持 IP 报 文 的 ToS 域 不 变 。 
在 MPLS 网 络 的 中 间 节 点 根据 MPLS 报 文 的 EXP 域 对 报 文 进行 分 
类 ， 并 实现 拥塞 管理 美 流量 监管 或 者 流量 整形 等 PHB。 
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简单 流 分 类 和 标记 流量 出 方向 以 
802.1P 为 例 ) 
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举例 说 明 : 图 中 的 PHB 表 即 华 为 路 由 器 系统 中 的 简单 流 分 类 映射 
表 : 


配置 方法 和 察看 方法 见 下 一 
<RT>display diffserv domain default 
Diffserv domain name:default 
8021p-outbound be green map 1 
8021p-outbouridiaf 人 green map 2 
8021p-outbound af1 red map 3 
8021p-outbound af2 red map 4 
8021p-outbound af3 green map 3 
8021p-outbound af3 yellow map 2 
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流 分 类 与 标记 在 产品 中 的 实现 


华为 路 由 器 产品 支持 配置 8 个 DS 域 (定义 见 注释 ) 。 
上 行 简单 流 分 类 ,根据 IP DSCP、MPLS EXP 或 802.1P 将 报 文 分 为 八 
种 业务 类 型 es CS6、EF、AF4 一 AF1、BE) 、 三 种 颜色 (green, 
yellow. red) ， 从 而 区 分 不 同 的 业务 (如 ， 语 音 、 视 频 、 数 据 等 ) 。 
在 拥塞 管理 、 队 列 调 度 时 ， 不 同业 务 进入 不 同 的 队列 ， 得 到 差异 化 的 
调度 。 例 如 语音 可 以 进入 高 优先 级 的 PQ 队列 ， 保 证 低 延 时 。 上 行 若 不 
做 简单 流 分 类 ， 报 文 业务 类 型 都 为 BE。 
ee 根据 内 部 业务 类 型 (CS7. CS6, EF, AF4—AF1, 
、 三 种 颜色 (green, yellow, red) ， 重 新 设置 报 文 的 IP DSCP、 
ni EXP 或 802.1P， 实 现 了 重 标 记 的 功能 ， 重 新 标记 IP DSCR、 
MPLS EXP 或 802.1P。 下 行 未 配置 简单 流 分 类 时 ，IP DSCPSsMPLS 
EXP 或 802.1P 不 做 改变 。 
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域 : 定义 了 一 组 分 类 规则 ， 规 定 了 带 丽 同 优先 级 (dscp. mpls 
exp、802.1p 等 ) 的 报 文 与 内 部 优先 级 的 映射 关系 ， 以 及 内 部 优先 
级 与 报 文本 身 优 先 级 的 映射 关系 。 


1、 配 置 举例 : 

(1) 在 接口 g93/0/0 和 g4/0/94 实 现 DSCP 与 EXP 的 映射 。 
配置 diffserv 域 ， 和 名称 为 d1 
[RT-O]diffserv domain d1 
配置 报 文 入 方向 的 映射 关系 
[RT-0-dsdomain-d1]ip-dscp-inbound 34 phb af1 green 
配置 报 文 出 方向 的 映射 关系 
[RT-0-dsdomain-d2]mpls-exp-outbound af1 green map 3 
在 接口 下 应 用 简单 流 分 类 
[RT*0-GigabitEthernet3/0/0]trust upstream d1 
[RT-1-GigabitEthernet4/0/9]trust upstream d1 
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这 样 当 DSCP 为 34 的 IP 报 文 进入 接口 93/0/0 后 ， 根 据 简单 流 分 类 

转换 为 路 由 器 内 部 优先 级 af1 〈 业 务 类 型 ) ， green 颜 色 参 与 队列 

调度 ， 流 量 管理 等 处 理 。 当 报 文 出 94/0/9 时 ， 简 单 流 分 类 将 根据 

其 内 部 的 优先 级 Af1 和 颜色 green 标 记 报 文 的 exp 值 为 3。 

2、 应 用 场景 ~ 
IP，MPLS，VLAN 报 文 跨 域 转换 时 ， 可 以 使 用 简单 流 分 类 3 

现 DSCP/IP-PRE/EXP/802.1P 之 间 的 映射 ， 并 保证 报 文 的 服务 

级 不 受 变 化 。 

3、 华 为 路 由 器 系统 默认 的 简单 流 分 类 映射 表 : 


<RT>display diffserv domain default 


ga Ag 


Diffserv domain name:default 
8021p-inbound 0 phb be green 
8021p-inbound 1 phb af1 green 
8021p-inbound 2 phb af2 green 
8021p-inbound 3 phb af3 green 
8021p-inbound 4 phb af4 green 
8021p-inbound 5 phb ef green 
8021p-inbound 6 phb cs6‘green 
8021p-inbound 7 phb cs¥green 
8021p-outbound be green map 0 
8021p-outbound.affgreen map 1 
8021p-outbound af1 yellow map 1 
8021p-outbound af1 red map 1 
8021p-outbound af2 green map 2 
8021p-outbound af2 yellow map 2 
8021p-outbound af2 red map 2 
8021p-outbound af3 green map 3 
8021p-outbound af3 yellow map 3 
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8021p-outbound af3 red map 3 
8021p-outbound af4 green map 4 
8021p-outbound af4 yellow map 4 
8021p-outbound af4 red map 4 
8021p-outbound ef green map 5 
8021p-outbound cs6 green map 6 
8021p-outbound cs7 green map 7 
ip-dscp-inbound 0 phb be green 
ip-dscp-inbound 1 phb be green 
ip-dscp-inbound 2 phb be green 
ip-dscp-inbound 3 phb be green 
ip-dscp-inbound 4 phb be green 
ip-dscp-inbound 5 phb be green 
ip-dscp-inbound 6 phb be green 
ip-dscp-inbound 7 phb be green 
ip-dscp-inbound 8 phb af1 green 
ip-dscp-inbound 9 phb be green 
ip-dscp-inbound 10 phb efgreen 
ip-dscp-inbound 11 phb be green 
ip-dscp-inbound 12 phb af1 yellow 
ip-dscp-inbound 13 phb be green 
ip-dscp-inbound 1 本 phb af1 red 
ip-dscp-inboun 中 15 phb be green 
ip-dscp-inbound 16 phb af2 green 
ip-dscp-inbound 17 phb be green 
ip-dscp-inbound 18 phb af2 green 
ip-dscp-inbound 19 phb be green 
ip=dscp-inbound 20 phb af2 yellow 
ip-dscp-inbound 21 phb be green 
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ip-dscp-inbound 22 phb af2 red 
ip-dscp-inbound 23 phb be green 
ip-dscp-inbound 24 phb af3 green 
ip-dscp-inbound 25 phb be green 
ip-dscp-inbound 26 phb af3 green 
ip-dscp-inbound 27 phb be green 
ip-dscp-inbound 28 phb af3 yellow 
ip-dscp-inbound 29 phb be green 
ip-dscp-inbound 30 phb af3 red 
ip-dscp-inbound 31 phb be green 
ip-dscp-inbound 32 phb af4 green 
ip-dscp-inbound 33 phb be green 
ip-dscp-inbound 34 phb af4 green 
ip-dscp-inbound 35 phb be green 
ip-dscp-inbound 36 phb af4 yellow 
ip-dscp-inbound 37 phb be green 
ip-dscp-inbound 38 phb af4\red 
ip-dscp-inbound 39 phb be green 
ip-dscp-inbound 40 phb ef green 
ip-dscp-inbound 41 phb be green 
ip-dscp-inbound 42 phb be green 
ip-dscp-inbound 43-phb be green 
ip-dscp-inbound:44 phb be green 
ip-dscp-inbound 45 phb be green 
ip-dscp-inbound 46 phb ef green 
ip-dscp-inbound 47 phb be green 
ip-dscp-inbound 48 phb cs6 green 
ip=dscp-inbound 49 phb be green 
ip-dscp-inbound 50 phb be green 
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ip-dscp-inbound 51 phb be green 
ip-dscp-inbound 52 phb be green 
ip-dscp-inbound 53 phb be green 
ip-dscp-inbound 54 phb be green 
ip-dscp-inbound 55 phb be green 
ip-dscp-inbound 56 phb cs7 green 
ip-dscp-inbound 57 phb be green 
ip-dscp-inbound 58 phb be green 
ip-dscp-inbound 59 phb be green 
ip-dscp-inbound 60 phb be green 
ip-dscp-inbound 61 phb be green 
ip-dscp-inbound 62 phb be green 
ip-dscp-inbound 63 phb be green 
ip-dscp-outbound be green map 0 
ip-dscp-outbound af1 green map 10 
ip-dscp-outbound af1 yellow map 1.2 
ip-dscp-outbound af1 red map 14 
ip-dscp-outbound af2 green map 18 
ip-dscp-outbound af2 yellow map 20 
ip-dscp-outbound af2 ‘red, map 22 
ip-dscp-outboundraf3.green map 26 
ip-dscp-outbound af3 yellow map 28 
ip-dscp-outbound af3 red map 30 
ip-dscp-outbound af4 green map 34 
ip-dscp-outbound af4 yellow map 36 
ip-dscp-outbound af4 red map 38 
ip-dscp-outbound ef green map 46 
ip=dscp-outbound cs6 green map 48 


ip-dscp-outbound cs7 green map 56 
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mpls-exp-inbound 0 phb be green 
mpls-exp-inbound 1 phb af1 green 
mpls-exp-inbound 2 phb af2 green 
mpls-exp-inbound 3 phb af3 green 
mpls-exp-inbound 4 phb af4 green 
mpls-exp-inbound 5 phb ef green 
mpls-exp-inbound 6 phb cs6 green 
mpls-exp-inbound 7 phb cs7 green 
mpls-exp-outbound be green map 0 
mpls-exp-outbound af1 green map 1 
mpls-exp-outbound af1 yellow map 1 
mpls-exp-outbound af1 red map 1 
mpls-exp-outbound af2 green map 2 
mpls-exp-outbound af2 yellow map 2 
mpls-exp-outbound af2 red map 2 
mpls-exp-outbound af3 greenymap.3 
mpls-exp-outbound af3 yellow map 3 
mpls-exp-outbound af3 red map 3 
mpls-exp-outbound af4sgreen map 4 
mpls-exp-outbound af4 yellow map 4 
mpls-exp-outbound af4 red map 4 
mpls-exp-outbound-ef green map 5 
mpls-exp-outbound cs6 green map 6 
mpls-exp-outbound cs7 green map 7 
atm-inboundubr 0 phb be green 
atm-inbound ubr 1 phb be green 
atm=inbound cbr 0 phb ef green 
atm-inbound cbr 1 phb ef green 


atm-inbound rt-vbr 0 phb af4 green 





ik 
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atm-inbound rt-vbr 1 phb af4 yellow 
atm-inbound nrt-vbr 0 phb af2 green 
atm-inbound nrt-vbr 1 phb af2 yellow 
atm-inbound abr 0 phb af1 green 
atm-inbound abr 1 phb af1 yellow X 
atm-inbound oam-cell phb ef green 
atm-outbound be green map 1 
atm-outbound af1 green map 1 
atm-outbound af1 yellow map 1 
atm-outbound af1 red map 1 
atm-outbound af2 green map 0 
atm-outbound af2 yellow map 1 
atm-outbound af2 red map 1 
atm-outbound af3 green map 1 
atm-outbound af3 yellow map 1 
atm-outbound af3 red map 1 
atm-outbound af4 green map 0 
atm-outbound af4 yellow map 1 
atm-outbound af4 red map 1 
atm-outbound ef green, map 0 
atm-outbound cs6-green map 0 
atm-outbound cs7 green map 0 
ppp-inbound control phb ef green 
<RT> 
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简单 流 分 类 应 用 场景 举例 





EXP 到 DSCP 的 映射 








DSCP 到 EXP 的 映射 
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简单 流 分 类 是 指 根据 IP 报 文 的 IP 优 先 级 或 DBSCP 值 、MPLS 报 文 的 
EXP 域 值 、VLAN 报 文 的 802.1p 值 ， 将 报 文 划分 为 多 个 优先 级 或 多 
个 服务 等 级 。 配 置 基于 简单 流 分 类 的 流量 策略 可 以 将 一 种 网 络 流 

量 中 的 优先 级 映射 到 另外 一 种 网 络 流量 中 ， 使 流量 在 另外 一 种 网 

络 中 按照 原来 的 优先 级 传送 。 

简单 流 分 类 的 应 用 场景 :4 在 IP，MPLS，VLAN 报 文 跨 域 转换 时 ， 

可 以 使 用 简单 流 分 类 实现 DSCP/IP-PRE/EXP/802.1P 之 间 的 映射 ， 
并 保证 报 文 的 服务 等 级 不 受 变化 。 

简单 流 分 类 通常 配置 在 网 络 的 核心 位 置 。 

简单 流 分 类 不 入 应 用 在 物理 端口 ， 还 可 以 用 于 逻辑 端口 。 在 企业 

组 网 中 逻辑 端口 有 更 加 广阔 的 应 用 ， 
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简单 流 分 类 的 配置 i 


C 


Pos1/0/0 
IP MPLS 
Pos2/0/0 





[RTA]diffserv domain A 
[RTA-dsdomain-A]ip-dscp-inbound 18 phb af4 green 
[RTA-dsdomain-A]mpls-exp-outbound af4 green map, 5 
[RTA] interface pos 1/0/0 

[RTA-Pos1/0/0]trust upstream A 

[RTA]interface pos 2/0/0 

[RTA-Pos2/0/0]trust upstream A 
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在 本 配置 实例 中 ，RTA、RTB、RTCSRTD 运 行 MPLS 协 议 ，RTA 
与 RTD 分 别 连 接 有 IP 网 络 。 假 定 MPLS 网 络 中 四 合 路 由 器 上 的 
MPLS 配 置 已 经 完成 ，IP 流 量 从 RTA 到 RTD 能 进行 MPLS 转 发 ， 
MPLS 流 量 出 RTD 时 ， 能 转换 成 IP 流 ， 并 且 保 持 QoS 不 变 。 

RTA 的 基本 配置 流程 如 下 : 

1、 首 先 建立 Differserv 域 ; 

2、 配 置 IP 报 文 DSCP 8 对 应 的 PHB 为 AF4 并 将 报 文 标记 为 绿色 ; 
3、 配 置 MPLS 的 服务 等 级 为 AF4 的 绿色 报 文 对 应 的 MPLS EXP 为 5; 
4、 分 别 在 RTA 的 IP 和 MPLS 接 口 使 能 Differserv 域 。 

Diffserv domain ds-domain-name， 定 义 DS 域 并 进入 DS 域 视图 。 
ip-dscp-inbound’dscp-value phb service-class [ color ] 命令 用 来 
配置 当前 域 的 上 行 IP 报 文 的 DSCP 值 对 应 的 服务 等 级 ， 并 将 报 文 着 
色 从 缺 省 情况 下 为 green。 

dscp-value: 指定 上 行 IP 报 文 的 DSCP 值 。 整 数 形式 ， 取 值 范 围 是 
0~63。 

Phb service-class: 指定 对 应 的 服务 等 级 ， 取 值 为 EF、AF1、 
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AF2、AF3、AF4、BE、CS6 或 CS7。 

color: 指定 报 文 标 记 的 颜色 ， 取 值 为 green、yellow 或 red。 
mpls-exp-outbound service-class color map exp 命 令 用 来 配置 当 
前 域 下 行 报 文 的 服务 等 级 和 颜色 标记 对 应 的 EXP 域 值 。 
service-class: 指定 服务 等 级 ， 取 值 为 EF、AF1、AF2、AF3、 以 
AF4、BE、CS6 和 CS7。 

color: 指定 报 文 标记 的 颜色 ， 取 值 为 green、yellow 或 red。 

map exp: 指定 对 应 的 MPLS 报 文 的 EXP 域 值 。 整 数 形式 下 取 值 范 
围 是 0 一 7。 

trust upstream { ds-domain-name | default } 命令 用 来 在 接口 上 绑 
定 DS 域 ， 使 其 支持 简单 流 分 类 ， 以 便 对 IP 报 文 YMRLES 报 文 的 优 
先 级 进行 修改 。 

ds-domain-name: DS 区 域名 称 ， 字 符 串 形式 ,S 长 度 范 围 是 1 一 8。 
DS 区 域 (DS domain) 由 一 组 采用 相同 的 服务 提供 策略 和 实现 了 相 
同 PHB 组 集合 的 相连 DS 节 点 组 成 。 

default: 指定 默认 DS 域 。 
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简单 流 分 类 的 配置 〈 续 ) 


RTC 


pasior & Pos2/0/0 MPLS 


RTA Pos1/0/0 IP 
g Pos2/0/0 
RTD Aa 
im, “SE 


[RTD] diffserv domain B 
[RTD-dsdomain-B]mpls-exp-inbound 5 phb af4 green 
[RTD-dsdomain-B]ip-dscp-outbound af4 green map h8 
[RTD] interface pos 1/0/0 

[RTD-Pos1/0/0]trust upstream B 

[RTDinterface pos 2/0/0 

[RTD-Pos2/0/0]trust upstream B 





Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page19 w HUAWEI 


RTA 的 IP 流 进入 MPLS 网 络 后 按 MPLS 标 等 转发 ， 由 于 RTD 连 接 有 
MPLS 和 和 IP 两 个 网 络 ， 所 以 在 RTD 上 需要 配置 MPLS QoS 到 IP 
QoS 的 映射 。 具 体 配置 步骤 如 下 : 

1、 首 先 建立 Differserv 域 ; 

2、 配 置 MPLS 报 文 EXP 5 对 应 的 PHB 为 AF4 并 将 报 文 标记 为 绿色 ; 
3、 配 置 IP 的 服务 等 级 为 AE4 的 绿色 报 文 对 应 的 DSCP 为 18; 

4、 分 别 在 RTD 的 IP 和 MPLS 接 口 使 能 Differserv 域 。 
mpls-exp-inbound expsphb service-class [ color ] 命 令 用 来 配置 当 
前 域 上 行 MPLS 报 文 的 EXP 域 值 的 对 应 的 服务 等 级 ， 并 将 报 文 着 色 ， 
缺 省 情况 下 为 green。 

exp: 指定 MPLS 报 文 的 EXP 域 值 。 整 数 形式 ， 取 值 范 围 是 0 一 7。 
phb service-class: 指定 对 应 的 服务 等 级 ， 取 值 为 EF、AF1、AF2、 
AF3x_AF4y BE、CS6 或 CS7。 

color: 指定 报 文 标记 的 颜色 ， 取 值 为 green、yellow 或 red。 服 务 
等 级 为 CS6、CS7、EF 和 BE 时 ， 只 能 将 报 文 着 色 为 green。 
ip-dscp-outbound service-class color map dscp-value 命 令 用 来 配 
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置 当 前 域 的 下 行 IP 报 文 服务 等 级 和 颜色 对 应 的 DSCP 值 。 
service-class: 指定 下 行 IP 报 文 的 服务 等 级 ， 取 值 为 EF、AF1、 
AF2、AF3、AF4、BE、CS6 或 CS7。 

color: 指定 报 文 标记 的 颜色 ， 取 值 为 green、yellow 或 red。 

map dscp-value: 指定 对 应 的 DSCP 值 ， 整 数 形式 ， 取 值 范围 是 入 
0~63. 
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I 8 个 优先 级 队列 
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复杂 流 分 类 是 指 根据 五 元 组 OOR mS AA B 
的 地 址 、 目 的 端口 号 ) 等 报 文 信息 对 报 文 进行 分 类 (一 般 的 分 类 
依据 都 局 限 在 封装 报 文 的 头 部 信息 ,使 用 报 文 内 容 作 为 分 类 的 标 
准 比 较 少见 ) ， 缺 省 应 用 于 网 络 的 边缘 位 置 。 报 文 进入 边缘 节点 
时 ， 网 络 管理 者 可 以 灵活 配置 分 类 规则 。 分 类 的 结果 是 没有 范围 
限制 的 ， 它 可 以 是 一 个 由 五 元 组 ( 源 地 址 、 源 端口 号 、 协 议 号 码 、 
目的 地 址 、 目 的 端口 号 ) 确定 的 狭小 范围 ， 也 可 以 是 匹配 某 网 段 
的 所 有 报 文 。 

复杂 流 分 类 通过 提取 报 文 信息 ， 如 报 文 优先 级 、 源 IP、 目 的 IP、 
源 MAC、 目 的 MAC、802.1p、 报 文 封装 类 型 等 等 ， 组 成 天 键 字 去 
匹配 规则 表 、 然 后 通过 匹配 规则 得 到 一 个 索引 ， 表 根据 索引 查 动 
作 表 ， 将 报 文 映射 为 内 部 优先 级 ， 除 了 映射 内 部 优先 级 外 ， 复 杂 
流 分 类 还 可 以 支持 流量 监管 (CAR)、PBR ( Policy-based 
Routing ) | 重 标记 ， 报 文 过 滤 、 采 样 、 镜 像 等 其 它 动作 。 
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复杂 流 分 类 在 产品 中 的 实现 


在 实现 复杂 流 分 类 时 分 为 两 个 部 分 : 规则 部 分 和 动作 部 分 。 

当 处 理 报 文 时 ， 根 据 报 文中 用 来 分 类 的 字段 信息 组 成 关键 字 ， 
查找 规则 表 ; 如 果 报 文 能 匹配 上 规则 部 分 ， 则 根据 查找 结果 确 
定 该 规则 对 应 的 动作 表 ， 确 定 该 报 文 应 该 执行 何 种 动作 。 如 果 
报 文 没有 匹配 上 任何 一 条 规则 ， 则 报 文 不 做 分 类 按 普通 报 文正 
常 转发 。 

ACL (Access Control List) : 访问 控制 列表 。 用 于 复杂 流 准 类 
的 规则 部 分 。 
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产品 在 实现 复杂 流 分 类 时 分 为 两 个 部 分 :复杂 流 分 类 的 规则 部 分 
与 复杂 流 分 类 的 动作 部 分 。 

配置 举例 : 

1、 创 建 复杂 流 分 类 的 规则 

# 定义 一 个 名 为 c1 的 类 。 

<Quidway> system view 

[Quidway] traffic classifier c1 
[Quidway-classifier-cT] 

# 配置 一 条 匹配 规则 dscp = 1. 
[Quidway-classifier-c1] if-match dscp 1 
2、 创 建 复杂 流 分 类 的 动作 部 分 

# 定义 一 外 名 为 b1 的 流行 为 。 
<Quidway> system view 

[Quidway] traffic behavior b1 
[Quidway-behavior-b1] 
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# 配置 一 个 重 标 记 的 动作 。 

[Quidway-behavior-b1] remark dscp ef 

3、 将 规则 部 分 与 动作 部 分 结合 起 来 ， 组 成 复杂 流 分 类 的 流 策略 
# 定义 一 个 名 为 p1 的 策略 。 

<Quidway> system view X 
[Quidway] traffic policy p1 

# 在 流 策略 p1 中 配置 符合 流 分 类 c1 的 报 文采 用 流行 为 b1。 
<Quidway> system view 

[Quidway] traffic policy p1 

[Quidway-trafficpolicy-p1] classifier c1 behavior b1.. 

4、 将 该 策略 应 用 到 接口 上 ， 复 杂 流 分 类 功能 生效 

# 将 流量 策略 p1 应 用 到 接口 GigabitEthernet[1707Y9 的 出 方向 上 。 
<Quidway> system view 

[Quidway] interface gigabitethernet1/0/0 
[Quidway-GigabitEthernet1/0/0] traffic-policy p1 outbound 

复杂 流 分 类 在 处 理 报 文 时 ， 根 据 报 文中 用 来 分 类 的 字段 信息 组 成 
关键 字 ， 查 找 规 则 表 ， 根 据 查 找 结 果 确 定 动作 表 的 索引 ， 再 根据 
动作 表 索 引 查找 具体 的 动作 ， 确 定 报 文 应 该 执行 何 种 动作 。 这 样 
当 不 同 的 规则 关联 上 不 同 的 动作 时 就 可 以 提供 差分 服务 ， 实 现 网 
络 中 对 于 不 同 报 文 做 不 同 处 理 的 需求 。 

对 于 复杂 流 分 类 的 规则 部 分 ， 目 前 的 产品 实现 中 可 以 支持 根据 以 
太 报 文 头 中 的 源 MAC 地 址 、 目 的 MAC 地 址 、 报 文 链 路 层 承 载 的 协 
议 号 、 带 TAG 报 文 的 优先 级 进行 分 类 ; 支持 根据 IPv4 报 文 的 IP 优 
先 级 /DSCR/ToS 域 值 、 源 IP 地 址 前 经 、 目 的 IP 地 址 前 级 、IP 报 文 
承载 的 协议 号 分 片 标志 ，TCP SYN 标 志 、TCP/UDP 源 端口 号 或 
端口 范围 、FCP/UDP 目 的 端口 号 或 端口 范围 进行 分 类 ;支持 根据 
IPv6 报 文 的 IP 优 先 级 /DSCP/ToS 域 值 、 源 IP 地 址 前 经 、 目 的 IP 地 
址 前 缀 SSIP 报 文 承载 的 协议 号 、TCP/UDP 源 端口 号 或 端口 范围 、 
TCP/UDP 目 的 端口 号 或 端口 范围 进行 分 类 。 

对 于 复杂 流 分 类 的 动作 部 分 ， 目 前 的 产品 实现 中 可 以 支持 报 文 过 
滤 、 流 量 监管 (CAR) 、 报 文 重 标 记 、PBR、 报 文 镜像 、 报 文采 
样 、 报 文 防 攻击 检查 (URPF) o 
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复杂 流 分 类 应 用 场景 举例 


边缘 接 

入 节点 
公司 A， 网 公司 B， 网 段 
193. 2. 0. 0 193. 1. 0. 0 


¢. ) 
Jae 


如 上 图 所 示 ， 假 六 re ep i \ a 
400M 。 为 了 实现 带宽 保证 ， 可 以 在 边缘 接 入 节点 上 配置 复 厅 流 分 
根据 IP 地 址 区 分 A，B 公 司 ， 然 后 执行 不 同 的 流量 监管 。 


QY 
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注释 : 复杂 流 分 类 应 用 场景 举例 的 相 英 配置 见 流量 监管 的 配置 举 
例 。 
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流量 分 类 包括 哪些 分 类 


简单 流 分 类 是 依据 报 文 的 什么 信息 来 分 类 ? 


复杂 流 分 类 是 依据 报 文 的 什么 信息 来 分 类 
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案 : 





X 


。 流量 分 类 是 按照 一 定 的 规则 识别 符合 某 类 特征 的 报 文 ， 特 征 
不 同 的 报 文 享受 到 的 服务 不 同 。 

。 按照 分 类 规则 参考 信息 的 不 同 ， 济 量 分 类 可 以 分 为 简单 流 分 
类 和 复杂 流 分 类 ; 

。 简单 流 分 类 是 根据 报 文 的 优先 级 ， 如 IP 报 文 头 中 的 DSCP/IP- 
PRE 信 息 ，MPLS 报 文 头 中 的 MPLS EXP 信 息 ， 二 层 报 文 头 中 
的 802.1Ps 信 息 来 分 类 的 。 

。 复杂 流 分 类 是 根据 更 多 的 报 文 信息 ， 如 报 文 优 先 级 、 源 IP、 
目的 IP、 源 MAC、 目 的 MAC、 协 议 类 型 等 信息 来 分 类 的 。 
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形 是 对 报 文 的 速率 进行 控制 ， 使 报 文 以 均匀 的 速率 发 送出 去 。 流 量 
为 了 使 有 限 的 网 络 资源 可 以 更 好 地 为 用 户 服务 ， 可 以 对 特定 用 户 的 业 
进行 监管 ， 使 其 适应 分 配给 它 的 那 部 分 网 络 资源 。 


iama 
À E 
流 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 理解 流量 监管 与 整形 的 原理 。 
。 掌握 流量 监管 与 整形 的 方法 。 
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流量 监管 (Traffic-policing) 是 一 种 在 入 接口 或 出 接口 应 用 的 对 

进入 路 由 器 的 某 流量 进行 限制 的 流量 管理 技术 。 

对 于 ISP 来 说 ， 对 用 户 送 入 网 络 中 的 流量 进行 控制 是 十 分 必要 x 
的 。 对 于 企业 网 ， 对 某 些 应 用 的 流量 进行 控制 也 是 一 个 有 力 的 控 

制 网 络 状况 的 工具 。 

流量 监管 的 典型 应 用 是 监督 进入 网 络 的 某 一 流量 的 规格 ， 把 它 限 

制 在 一 个 合理 的 范围 之 内 ， 或 者 对 超出 的 部 分 流量 进行 “惩罚 ”” 

以 保护 网 络 资源 和 运营 商 的 利益 。 在 报 文 满足 一 定 的 条 件 时 。 如 

某 个 连接 的 报 文 流量 过 大 ， 流 量 监管 就 可 以 对 该 报 文采 取 耕 同 的 

处 理 动作 ， 例 如 丢弃 报 文 。 
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从 高 速 链 路 向 低速 链 路 传输 数据 时 , (带宽 会 在 低速 链 路 接口 处 出 
现 瓶 贷 ， 导 致 数据 丢失 严重 ， 特 别 是 会 影响 到 低 时 延 要 求 的 数据 
如 语音 等 。 流 量 监 管 (traffic pelicing) 的 典型 作用 是 限制 进入 或 
流出 某 一 网 络 的 某 一 连接 的 流量 与 突 发 。 在 报 文 满足 一 定 的 条 件 
时 ， 如 某 个 连接 的 报 文 流量 过 太 ， 流 量 监管 就 可 以 对 该 报 文采 取 
不 同 的 处 理 动 作 , 例如 丢弃 报 文 ， 或 重新 设置 报 文 的 优先 级 等 。 

通常 的 用 法 是 使 用 CAR 来 限制 某 类 报 文 的 流量 ， 例 如 限制 HTTP 报 
文 不 能 占用 超过 50% 的 网 络 带宽 。 
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网 络 管 理 者 可 以 使 用 约定 访问 速度 Car (Committed 
Access Rate) 来 对 流量 进行 控制 。 

需 由 此 接口 

发 送 的 报 文 [H 


> gja 
OEIS > 

b 

2 


继续 发 送 


%y l e g 
Via i 

| 不 需 流量 监管 的 报 文 

aa 需要 流量 监管 的 报 文 BF | 
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CAR 利用 TB (Tocken Bucket - hei) 进行 流量 控制 ， 上 图 
是 CAR 的 处 理 过 程 ， 首 先 报 文 被 分 类 如果 报 文 需要 流量 监管 ， 

则 进入 令 牌 桶 中 进行 处 理 ， 如 果 令 牌 桶 中 有 足够 的 令 牌 可 以 用 来 
发 送 报 文 ， 则 报 文 可 以 通过 并 被 继续 发 送 下 去 。 如 果 令 牌 桶 中 的 
令 牌 不 满足 报 文 的 发 送 条 件 ， 则 报 文 被 丢弃 。 这 样 就 可 以 对 某 类 
报 文 的 流量 进行 控制 。 

CAR 可 以 对 特定 流量 进行 流量 监管 ， 对 超出 限额 的 流量 进行 丢弃 
或 者 重新 标记 。 

首先 ， 根 据 预 先 设置 的 匹配 规则 来 对 报 文 进行 分 类 ， 如 果 是 无 须 
进行 流量 监管 的 报 文 ， 就 直接 发 送 ， 不 需要 经 过 令 牌 桶 的 处 理 。 

其 次 ， 如 果 是 需要 进行 流量 控制 的 报 文 ， 则 会 进入 令 牌 桶 中 进行 
处 理 。 我 们 定义 包 长 度 为 B， 令 牌 数量 为 TB: 

如 果 进 入 令 牌 桶 处 理 的 包 长 度 B -TB<0， 报 文 能 拿 到 令 牌 则 报 文 
是 绿色 的 ~\( 不 管 对 此 颜色 的 报 文采 取 什 么 处 理 行为 如 丢弃 、 转 发 
等 ) 六 同时 令 牌 桶 中 减少 相应 报 文 长 度 的 令 牌 ，TB=TB-B， 反 之 
拿 不 到 令 牌 的 报 文 是 红色 的 ， 令 牌 不 减少 (不 论 对 红色 报 文 执行 
转发 还 是 其 他 的 处 理 行为 ) 。 需 要 说 明 的 是 如 果 把 红色 报 文 的 处 
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理 行为 配置 成 PASS， 虽 然 拿 不 到 令 牌 ， 但 是 报 文 还 是 可 以 送出 。 例 如 ， 
如 果 进 入 令 牌 桶 处 理 的 报 文 长 度 B 为 800bits,TB= 30000bits, 这 时 30000- 
800>0, 所 以 报 文 是 绿色 的 ， 同 时 令 牌 数量 TB=30000-800; 否则 报 文 是 
红色 的 ，TB 不 减少 。 

当 令 有 牌 桶 中 没有 令 牌 的 时 候 ， 报 文 将 不 能 被 发 送 ， 只 有 等 到 桶 中 生成 了 
新 的 令 牌 ， 报 文才 可 以 发 送 ， 这 就 可 以 限制 报 文 的 流量 只 能 是 小 于 等 于 
令 牌 生成 的 速度 ， 达 到 限制 流量 的 目的 。 令 牌 桶 按 用 户 设 定 的 速度 向 相 K 
中 放置 令 牌 ， 并 且 用 户 可 以 设置 令 牌 桶 的 容量 。 

在 实际 应 用 中 ，VRP 的 CAR 不 仅 可 以 用 来 进行 流量 控制 ， 还 可 以 进行 报 
文 的 标记 (mark) 或 重新 标记 (re-mark) 。 具 体 来 讲 就 是 CAR 可 以 设 
置 IP 报 文 的 优先 级 或 修改 IP 报 文 的 优先 级 ， 达 到 标记 报 文 的 且 的 例如 ， 
当 报 文 符合 流量 特性 的 时 候 ， 可 以 设置 报 文 的 优先 级 为 5， 当 报 文 不 符 
合流 量 特性 的 时 候 ， 可 以 丢弃 ， 也 可 以 设置 报 文 的 优先 级 为 1 并 继续 进 
行 发 送 。 这 样 ， 后 续 的 处 理 可 以 尽量 保证 不 丢弃 优先 级 为 5 的 报 文 ， 在 
网 络 不 拥塞 的 情况 下 ， 也 发 送 优先 级 为 1 的 报 文 ， 当 网 络 拥塞 时 ， 首 先 
丢弃 优先 级 为 1 的 报 文 ， 然 后 才 丢 弃 优 先 级 为 5 的 报 文 

CAR 可 以 为 不 同类 别 的 报 文 设置 不 同 的 流量 特性 和 标记 特性 。 即 ， 首 先 
对 报 文 进行 分 类 ， 从 而 使 不 同类 别 的 报 文 有 不 同 的 流量 特性 和 标记 特性 。 
此 外 ，CAR 的 策略 还 可 以 进行 串联 处 理 。 例 如 ， 可 以 对 所 有 的 报 文 限制 
一 个 总 的 流量 ， 然 后 在 总 的 流量 中 ， 再 限制 部 分 报 文 的 流量 符合 某 个 流 
量 特性 。CAR 能 在 出 接口 和 入 接口 上 生效 8 
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Token Bucket: 令 牌 桶 


Q 
w 
Size = CBS+EBS 





-ae 


待 发 送 流量 MN cono 


超额 流量 (Excess) -i 
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令 牌 桶 用 来 评估 流量 速率 是 否 超过 了 规定 值 ， 以 采取 相应 的 措施 。 
令 牌 桶 中 装 的 是 令 牌 而 不 是 分 组 每 隔 和 A t 时 间 产 生 一 个 令 牌 ， 放 
ACH, CH, SPENCE RAF. 

一 个 令 牌 表示 可 发 送 一 个 字 节 或 让 定数 量 字 节 的 数据 报 文 ， 当 报 
文 到 来 的 时 候 ， 如 果 令 牌 桶 中 有 足够 的 令 牌 用 来 发 送 数据 ， 则 报 
文通 过 ， 同 时 令 牌 的 数量 按 令 牌 长 度 作 相应 的 减少 ; 如 果 令 牌 不 
足以 发 送 一 个 数据 报 文 的 话 。 则 这 个 报 文 被 丢弃 ， 令 牌 数量 不 变 。 
以 令 牌 桶 中 令 牌 的 数量 是 否 满足 报 文 的 转发 作为 依据 ， 评 估 的 结 
果 有 两 种 : 顺从 , (Conform) 或 超标 (Excess) 。 

评估 流量 时 , 令 牌 桶 的 参数 设置 包括 : 

1、 平 均 速 率 (Committed Information Rate): 向 桶 中 放置 令 牌 的 速 
率 

2、 突 发 尺寸 (Committed Burst Size): 令 牌 桶 的 容量 ， 每 次 突 发 
所 人 允许 的 最 大 流量 尺寸 ， 设 置 的 突 发 尺寸 必须 大 于 最 大 报 文 长 度 
为 了 测量 更 复杂 的 情况 ， 实 施 更 灵活 的 调控 策略 ， 可 以 设置 两 个 
令 牌 桶 s 例如 流量 策略 TP (Traffic Policing) 中 有 三 个 参数 : 承 
诺 信 息 速 率 CIR (Committed Information Rate) ; 承诺 突 发 尺寸 
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CBS (Committed Burst Size) ; 超出 突 发 尺寸 EBS (Excess 
Burst Size) 。 它 使 用 了 两 个 令 牌 桶 ， 每 个 桶 投放 令 有 牌 的 速率 一 样 ， 
均 为 CIR， 只 是 尺寸 不 同 分 别 为 CBS 和 EBS， 简 称 C 桶 和 E 桶 ， 
代表 所 允许 的 不 同 突 发 级 别 。 每 次 测量 时 ， 依 据 “C 桶 有 足够 的 令 
牌 ”、“C 桶 令 牌 不 足 ， 但 E 桶 足够 ”以 及 “C 桶 和 E 桶 都 没有 足 
够 的 令 牌 ”的 情况 ， 可 以 分 别 实施 不 同 的 流 控 策略 。 xX 
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:一 个 令 牌 桶 ， 容 量 是 CBS ， 一 个 填充 令 牌 的 速率 


文 进行 处 理 。 

双 桶 单 速 率 流 量 监控 : 两 个 令 牌 桶 ， 一 个 的 容量 是 CBS ， 一 个 的 容量 是 
EBS ， 一 个 填充 令 牌 的 速率 CIR, 两 个 令 牌 桶 使 用 同一 个 填充 速率 。 当 有 
B 字 节 的 报 文 传 过 来 的 时 候 ， 根 据 两 个 桶 的 当前 容量 来 对 这 个 报 文 进 繁 
处 理 。 

双 桶 双 速 率 流 量 监控 : 两 个 令 牌 桶 ， 一 个 的 容量 是 CBS ， 一 个 的 容量 是 
PBS 。 这 两 个 令 牌 桶 分 别 使 用 两 个 填充 令 牌 的 速率 ， 一 个 填充 速率 是 
CIR, 一 个 填充 速率 是 PIR 。 当 有 BF VARICES, MRIS 
个 桶 的 当前 容量 来 对 这 个 报 文 进行 处 理 。 
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1、 单 令 牌 桶 主要 由 两 个 
参数 构成 : 

-CIR (Committed InformatioPRate) : 承诺 信息 速率 ， 表 
示 向 令 牌 桶 中 投放 令 牌 的 速率 ， 即 长 时 间 的 端口 平均 速率 

— CBS (Committed Burst*Size) : 承诺 突 发 尺寸 ， 用 来 决 
定 在 部 分 流量 超过 CIR 之 前 的 最 大 突 发 流量 ， 即 为 令 牌 桶 的 容量 
CRE) 。 设 置 的 突 发 尺 斗 必须 大 于 报 文 的 最 大 长 度 


2、 单 速 双 桶 ， 主 要 由 三 个 参数 构成 

一 承诺 信息 速率 CIR (Committed Information Rate) : 表示 
向 C 桶 中 放置 令 脾 的 速率 ， 即 C 桶 允许 的 流 的 平均 速度 

一 承诺 突 发 愉 寸 CBS (Committed Burst Size) : 表示 C 桶 
的 容量 六 即 每 次 突 发 C 桶 所 允许 的 最 大 的 流量 尺寸 

一 额外 突 发 尺寸 EBS (Extra Burst Size) : 表示 E 桶 的 容量 ， 
即 每 次 突 发 E 桶 所 允许 的 最 大 的 流量 尺寸 
3、 双 速 双 桶 ， 主 要 由 四 个 参数 构成 
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一 承诺 信息 速率 CIR (Committed Information Rate) : 表示 

向 C 桶 中 放置 令 牌 的 速率 ， 即 C 桶 允许 的 流 的 平均 速度 
一 承诺 突 发 尺寸 CBS (Committed Burst Size) : 表示 C 桶 

的 容量 ， 即 每 次 突 发 C 桶 所 允许 的 最 大 的 流量 尺寸 

一 峰值 信息 速率 PIR (Peak Information Rate) : 表示 向 P Ty 
中 放置 令 牌 的 速率 ， 即 P 桶 人 允许 的 流 的 平均 速度 

一 过 度 突 发 尺寸 PBS (Peak Burst Size) : 表示 P RERE, 

即 每 次 突 发 P 桶 所 允许 的 最 大 的 流量 尺寸 
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例 : 标记 为 green 的 报 文通 过 ， 标 记 为 red 的 报 文 丢弃 。 


以 CIR 速 率 向 
令 牌 桶 注入 令 牌 


= A 
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流量 监管 单 桶 单 速配 置 举例 : 

# 在 接口 GE6/0/0 的 入 方向 上 配置 流量 监管 。 设 置 报 文正 常 流量 大 
1M， 对 于 green 报 文 允 许 通过 ,Ned 报 文 丢 奔 。 
<Quidway> system view 
[Quidway] interface gigabitethernet6/0/0 
[Quidway-GigabitEthernet6/0/0] qos car cir 1000 cbs 10000 pbs 
0 green pass red discard inbound 
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双 桶 单 速 


Gil: 标记 为 green 的 报 文通 过 ，yellow 报 文通 过 ，red 的 报 文 丢弃 。 
以 CIR 速 率 向 令 牌 桶 注入 令 牌 ，CBS 令 牌 桶 满 后 ， 再 向 EBS 令 牌 桶 填充 


xX 
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流量 监管 双 桶 单 速 配置 举例 : 

# 在 接口 GE6/0/0 的 入 方向 上 配置 流量 监管 。 设 置 报 文正 常 流量 大 
1M. 

<Quidway> system view 

[Quidway] interface gigabitethernet6/0/0 


[Quidway-GigabitEthernet6/0/0] qos car cir 1000 cbs 10000 pbs 
10000 green pass yellowpass red discard inbound 
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双 桶 双 速 流量 监管 


Gil: 标记 为 green 的 报 文通 过 ， yellow 报 文通 过 ，red 的 报 文 丢弃 。 
标记 为 red 的 报 文 丢弃 。 


以 PIR 速 率 向 以 CIR 速 率 向 
令 牌 桶 注入 令 牌 令 牌 桶 注入 令 牌 
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流量 监管 双 桶 双 速 配置 举例 : 

# 在 接口 GE6/0/0 的 入 方向 上 配置 流量 监管 。 设 置 报 文正 常 流量 大 
1M ， 突 发 流量 为 2M。 

<Quidway> system view 

[Quidway] interface gigabitethernet6/0/0 
[Quidway-GigabitEthernet6/0/0] qos car cir 1000 pir 2000 cbs 
10000 pbs 20000 green.pass yellow pass red discard inbound 
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基于 接口 的 流量 监管 配置 举例 


企业 网 3 
RTA 


Pos1/0/0 





<RTB>system-view 

[RTB] interface posl/0/0 

[RTB-pos1/0/0]qos car cir 100 pir 10000 green pfs yd] Yow 
pass red discard inbound 
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基于 接口 的 流量 监管 是 指 对 进入 该 接 回 的 所 有 流量 进行 控制 ， 而 
不 区 分 具体 报 文 的 类 型 ， 一 般 应 用 于 网 络 核心 路 由 器 。 

本 例 中 在 RTB 的 POS1/0/0 端 口 半 配置 CAR 来 实现 流量 监管 ， 对 从 
POS1/0/0 接 口 的 所 有 流量 进行 控制 CIRA100, PIRA10000, 
绿色 和 黄色 正常 通过 ， 红 色 报 文 丢弃 。 具 体 的 配置 解释 如 下 。 

1、 执 行 命令 system-view; 人 进入 系统 视图 。 

2、 执 行 命令 interfaceinterface-type interface-number， 进 入 接口 
视图 。 

3、 执 行 命令 qoswcarcir cir-value [ pir pir-value ] [ cbs cbs-value 
pbs pbs-value ] [ green { discard | pass } [ yellow { discard | pass } 
[ red { discard Mpass } ] ] ] {inbound | outbound }， 在 接口 上 配置 
CAR. 

cir cir-values. 指定 承诺 信息 速率 (Committed Information Rate), 
即 保证 能 够 通过 的 速率 。 整 数 形式 ， 取 值 范围 是 100 一 10000000， 
单位 是 kbit/s 。 

pir pir-value: 指定 峰值 速率 PIR(Peak Information Rate), Blix 
能 够 通过 的 速率 。 整 数 形式 ， 取 值 范 围 是 100~10000000， 单 位 
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是 kbit/s。 参 数 pir-value 的 值 不 应 小 于 已 经 配置 的 cir-value 的 值 。 
cbs cbs-value: 指定 承诺 突 发 尺寸 (Committed Burst Size), BPR 
间 能 够 通过 的 承诺 流量 ， 即 第 一 个 令 牌 桶 的 深度 (假定 该 桶 为 A 桶 )。 
整数 形式 ， 取 值 范 围 是 64~33554432， 单 位 是 byte。 缺 省 值 与 配 
置 的 cir-value 有 关 。 若 cir-value<=10000kbit/s， 则 cbs-value 的 
省 值 为 10000byte; 若 cir-value>10000kbit/s ，cbs-value 的 缺 省 值 
等 于 cir-value 的 值 ， 单 位 是 byte 。 

pbs pbs-value: 指定 过 度 突 发 尺寸 (Peak Burst Size)， 即 瞬间 能 
够 通过 的 峰值 流量 ， 即 第 二 个 令 牌 桶 的 深度 (假定 该 桶 为 B 桶 )。 整 
数 形式 ， 取 值 范 围 是 0 一 33554432， 单 位 是 byte。 缺 省 值 与 pir- 
value 有 关 。 如 果 不 设置 pir-value ， 则 pbs-value 缺 省 值 为 0; 如果 
设置 了 pir-value， 并 且 pir-value<10000kbits， 则 pbs-value 缺 省 值 
为 10000byte; 如 果 设 置 了 pir-value， 并 且 pirsvalue>=10000kbit/s , 
则 pbs-value 缺 省 值 等 于 pir-value ， 单 位 是 byte 。 

pass, discard: 指定 对 着 色 为 某 种 颜色 (green、yellow、red) 的 报 
文采 取 的 动作 ， 分 别 是 通过 、 丢 弃 。 

green: 数据 包 的 流量 符合 承 详 信息 速率 时 对 数据 包 采 取 的 动作 ， 
缺 省 值 为 pass。 

yellow: 数据 包 的 流量 超过 承 诸 信息 速率 但 小 于 峰值 速率 时 对 数 
据 包 采取 的 动作 ， 缺 省 值 为 pass。 

red: 数据 包 的 流量 超过 峰值 速率 时 对 数据 包 采 取 的 动作 ， 缺 省 值 
为 discard。 

inbound: 在 报 文 的 入 ( 尘 行 ) 方 向 配置 流量 监管 。 

outbound: 在 报 文 的 出 (下 行 ) 方 向 配置 流量 监管 。 

此 例 中 CAR 部 分 配置 了 CIR，PIR 两 个 参数 ， 而 默认 情况 下 不 配置 
CBS 和 PBS 人 参数 也 可 以 得 到 缺 省 的 CBS 和 PBS， 在 trTCM 算 法 中 
提 到 , 4rTCM 算 法 是 通过 CIR，PIR，CBS ，PBS 四 个 参数 来 定义 
的 ,所 以 此 例 采用 的 算法 为 ttTCM 双 速率 三 色 标 记 算 法 ， 且 CAR 
工作 在 色盲 模式 。 
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基于 复杂 流 分 类 的 流量 监管 配置 举例 


Pos1/0/0 RTB 
1.1.1.1 


~~ Post/0/0 
‘fale permit source 1.1.1.1 0.0.0.0 


r 6000 green pass yellowmpassgred discard 
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BARD REED TAR. TMs. AS ERE 
Bem OS) SIRS SIRT RRNA FMA WSs o 
如 果 需 要 对 进入 接口 的 满足 特定 条 件 的 荣 一 类 或 几 类 报 文 进行 流量 控制 ， 
而 非 所 有 报 文 。 可 以 考虑 将 复杂 流 分 类 与 流量 控制 行为 相 结 合 ， 配 置 基 
于 复杂 流 分 类 的 流量 监管 策略 ， 然 后 应 用 于 该 接口 。 

本 例 中 在 RTB 上 定义 对 从 源 邓 4.4.1.1 网 段 发 来 的 报 文 做 流量 监管 ，CIR 
为 5000，PIR 为 6000, ,绿色 和 黄色 报 文正 常 通过 ， 红 色 报 文 丢 弃 。 

基于 复杂 流 分 类 的 流量 监管 配置 解释 如 下 : 

1、 执 行 命令 systemi-view， 进 入 系统 视图 。 

2、 执 行 命令 traffic classifier classifier-name [ operator { and | or }], = 
义 流 分 类 并 进入 类 视图 。 

3、 请 根据 实际 情况 对 路 由 器 的 匹配 规则 进行 定义 。 本 例 定义 报 文 发 送 
者 的 IP 地 址 。 

4、 执 行 命令 traffic behavior behavior-name， 定 义 行为 进入 流行 为 视图 。 
5 执行 命令 car cir cir-value [ pir pir-value ] [ cbs cbs-value pbs pbs- 
value ]{ green { discard | pass } [ yellow { discard | pass } [ red 
{discard | pass } ] ] ] ， 配 置 流量 监管 动作 。 
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基于 复杂 流 分 类 的 流量 监管 配置 举例 〈 续 ) 


企业 网 ae 
RTA 


一 Pos1/0/0 


|| [RTB] traffic policy 1 
(RTB-trafficpolicy-1]classifier aa behavior bb 
[RTB]interface pos1/0/0 
(RTB-pos1/0/0]traffic-policy 1 inbound 
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6、 执 行 命令 traffic policy policy-namey 定义 流量 策略 并 进入 策略 
视图 。 
7、 执 行 命 令 classifier classifier-name behavior behavior-name, 

在 流量 策略 中 为 类 指定 采用 的 行为 。 

8、 执 行 命 令 interface interface-type interface-number， 进 入 接口 
视图 。 

9、traffic-policy policysname { inbound | outbound } [ link-layer], 

在 接口 应 用 流量 策略 % 


=} 


aR 
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流量 整形 (traffic shaping) 的 典型 作用 是 限制 流出 某 一 网 络 的 

某 一 连接 的 流量 与 突 发 ， 使 这 类 报 文 以 比较 均匀 的 速度 向 外 发 送 。 K 
流量 整形 通常 使 用 缓冲 区 或 队列 和 令 牌 桶 来 完成 ， 当 报 文 的 发 送 

速度 过 快 时 ， 首 先 在 缓冲 区 或 队列 进行 缓存 ， 在 令 牌 桶 的 控制 下 ， 

再 均匀 地 发 送 这 些 被 缓冲 的 报 文 。 


流量 整形 通常 采用 的 技术 有 : Generic Traffic Shaping (通用 流量 
整形 ， 简 称 GTS) , Line Rate (物理 接口 总 速率 限制 ， 简 称 LR) es 
它们 可 以 对 不 规则 或 不 符合 预定 流量 特性 的 流量 进行 整形 ， 以 利 
于 网 络 上 下 游 之 间 的 带宽 匹配 。 


{N 


p N paoe WW Huawei 
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GTS: Generic Traffic Shaping 





EE Wes, 
A> RAHAT Page Hi 








Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. Page18 w HUAWEI 


通用 流量 整形 (简称 GTS) 可 以 对 不 规则 或 不 符合 预定 流量 特性 
的 流量 进行 整形 ， 以 保证 网 络 .Ek 游 之 间 的 带宽 匹配 ， 避 免 拥塞 
发 生 。 

GTS 与 CAR 一 样 ， 都 采用 了 令 牌 桶 技术 来 控制 流量 。GTS 与 CAR 
的 主要 区 别 在 于 : 利用 CAR 进 行 报 文 流量 控制 时 ， 对 不 符合 流量 
特性 的 报 文 进行 丢弃 ; 而 GTS 对 于 不 符合 流量 特性 的 报 文 则 是 进 
行 缓冲 ,减少 了 报 文 的 丢弃 》 同 时 满足 报 文 的 流量 特性 。 

GTS 的 基本 处 理 过 程 如 上 图 所 示 ， 其 中 用 于 缓存 报 文 的 队列 称 为 
GTS 队 列 。 

GTS 可 以 对 接 自 上 指定 的 报 文 流 或 所 有 报 文 进行 整形 。 当 报 文 到 
来 的 时 候 ， 首 先 对 报 文 进行 分 类 ， 如 果 报 文 不 需要 进行 GTS 处 理 ， 
就 继续 发 送 ， 不 需要 经 过 令 牌 桶 的 处 理 ; 流量 整形 的 令 牌 桶 的 构 
成 同 CAR 二 样 ， 如 果 报 文 需要 进行 GTS 处 理 ， 则 与 令 牌 桶 中 的 令 
牌 进行 比较 ， 进 入 令 牌 桶 处 理 的 包 长 度 B -TB<0 则 报 文 被 发 送 ， 

否则 报 文 被 缓存 ， 等 到 令 牌 桶 中 有 足够 的 令 牌 时 继续 发 送 报 文 。 

祈 牌 桶 按 用 户 设 定 的 速度 向 桶 中 放置 令 牌 ， 如 果 令 牌 桶 中 有 足够 
的 念 牌 可 以 用 来 发 送 报 文 ， 则 报 文 直接 被 继续 发 送出 去 ， 同 时 ， 
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令 牌 桶 中 的 令 牌 量 按 报 文 的 长 度 做 相应 的 减少 。 当 令 牌 桶 中 的 令 
牌 少 到 报 文 不 能 再 发 送 时 ， 报 文 将 被 缓存 入 GTS 队 列 中 (队列 是 
FIFO 队 列 ) ， 此 队列 与 接口 上 的 FIFO 不 是 同一 个 队列 ， 当 然 队 列 
有 一 定 的 长 度 〈 以 包 为 单位 ) ， 当 需要 缓存 的 报 文 个 数 大 于 队列 
长 度 时 报 文 因 无 法 缓存 而 丢 奔 。 当 GTS 队 列 中 有 报 文 的 时 候 ， 
GTS 按 一 定 的 周期 从 队列 中 取出 报 文 进行 发 送 ， 每 次 发 送 都 会 与 
令 牌 桶 中 的 令 牌 数 作 比 较 ， 令 牌 数 足够 则 发 送 ， 令 牌 数 不 够 就 继 
续 缓存 。 另 外 ，GTS 也 人 允许 有 突 发 。GTS 只 能 在 出 接口 上 生效 
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LR: Line Rate 





REEE A TFL 


需 由 此 接口 
发 送 的 报 文 


a 
E E [= 

















LR 限制 的 是 接口 发 送 报 文 的 总 速率 。 
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物理 接口 总 速率 限制 (简称 LR) 可 以 在 地 个 物理 接口 上 ， 限 制 接 
口 发 送 报 文 (包括 紧急 报 文 ) 的 总 速率 4 

LR 的 处 理 过 程 仍然 是 采用 令 牌 桶 进行 流量 控制 。 如 果 用 户 在 路 由 
器 的 茶 个 接口 上 配置 了 LR ， 规 定 了 流量 特性 ， 则 所 有 经 由 该 接口 
发 送 的 报 文 首先 要 经 过 LR 的 令 牌 桶 进行 处 理 。 如 果 令 牌 桶 中 有 足 
够 的 令 牌 可 以 用 来 发 送 报 文 】 则 报 文 可 以 发 送 。 如 果 令 牌 桶 中 的 

令 牌 不 满足 报 文 的 发 送 条 件 》 则 报 文 进入 QoS 队 列 进行 拥塞 管理 。 
这 样 ， 就 可 以 对 通过 该 物理 接口 的 报 文 流 量 进行 控制 。LR 的 处 理 
过 程 如 图 所 示 。 

同样 的 ， 由 于 采用 了 令 牌 桶 控制 流量 ， 当 令 牌 桶 中 积存 有 令 牌 时 ， 
可 以 允许 报 文 的 突 发 性 传输 。 当 令 牌 桶 中 没有 令 牌 的 时 候 ， 报 文 

将 不 能 被 发 送 ， 只 有 等 到 桶 中 生成 了 新 的 令 牌 ， 报 文才 可 以 发 送 ， 
这 就 可 以 限制 报 文 的 流量 只 能 是 小 于 等 于 令 牌 生成 的 速度 ， 具 有 

限制 流量 ， 同 时 允许 突 发 流量 通过 的 目的 。 

LR 能 够 限制 在 物理 接口 上 通过 的 所 有 报 文 ，CAR 和 GTS 在 IP 层 实 
现 、 对 不 经 过 IP 层 处 理 的 报 文 不 起 作用 。LR 与 GTS 比 较 ，LR 不 但 
能 够 对 超过 流量 限制 的 报 文 进行 缓存 ， 而 且 还 使 报 文 进入 了 Qos 
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队列 机 制 进行 处 理 ， 所 以 队列 调度 机 制 更 灵活 。 
在 用 户 只 要 求 对 所 有 报 文 限 速 时 ， 使 用 LR 所 需 的 配置 操作 简单 。 
对 于 网 络 建设 投资 者 ， 可 以 对 客户 隐藏 实际 带宽 ， 客 户 只 能 严格 
按 所 购买 的 带宽 来 使 用 。 

xX 
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流量 整形 配置 举例 


Q 


1/0/0 
企业 网 Gs — 
RTA 


— 


| [RTA] interface pos1/0/0 
[RTA-pos1/0/0]port-queue be wfq weight 10 shaping 20 outbound 
[RTA-pos1/0/0]port-queue ef pq shaping 100 outboun@ 
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在 华为 高 端 系列 路 由 器 中 使 用 port-quewe 命 令 用 来 配置 接口 出 (下 
行 ) 方 向 的 QoS 服务 等 级 承诺 信息 速率 和 峰值 速率 ， 以 及 队列 调度 

EA 

port-queue cos-value { { pq |wfq weight weight-value | Ipa} | 

shaping { shaping-value | shaping-percentage shaping- 

percentage-value } | port-wred wred-name } * outbound 

参数 说 明 

cos-value: 指定 配置 的 济 队 列 优先 级 。 取 值 可 以 是 af1、af2、af3、 

af4、be、cs6、CSZY、ef 。 

weight-value: 流 队 列 调度 的 权重 。 整 数 形式 ， 取 值 范围 是 1~ 

100。 

shaping-value: 整形 速率 ， 表 示 配 置 的 接口 带宽 ， 等 于 峰值 信息 

速率 PIR 的 取 值 。 整 数 形式 ， 取 值 范 围 是 0 一 1000， 单 位 为 Mbps。 

shaping-percentage-value: 整形 速率 百分比 。 表 示 每 个 流 队列 的 


整形 速率 占 配 置 的 端口 输出 带宽 的 百分比 。 整 数 形式 ， 取 值 范围 
7£0>~ 100. 
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pq | wfq |Ipq: 配置 该 队列 的 调度 方式 。pq 为 绝对 优先 级 队列 调度 ; 
wfq 为 加 权 公 平 队列 调度 ; Ipq 为 低 优 先 级 调度 。 

三 种 队列 调度 的 优先 级 次 序 为 : 

PQ 队 列 的 优先 级 高 于 WFQ 队 列 的 优先 级 。 

WFQ 队 列 的 优先 级 高 于 LPQ 队 列 的 优先 级 。 X 
高 优先 级 的 队列 可 以 抢占 低 优先 级 队列 的 带宽 。 

wred-name: 配置 该 队列 的 WRED 模 板 。 字 符 串 形式 ， 长 度 范围 
是 1~31。 

outbound: 修改 该 接口 8 个 CQ 队列 出 (下行 ) 方向 的 调度 参数 。 
本 例 中 在 RTA 路 由 器 的 p0S1/0/0 出 接口 配置 流量 整形 ,$$ 配置 EF 服 
务 类 采用 PQ 调度 算法 ，PIR 的 峰值 速率 所 占 接 日 带宽 的 百分比 为 
20%; BE 服务 类 采用 WFQi 调 度 ， 配 置 权重 为 40，PIR 的 峰值 速率 
所 占 接口 带宽 的 百分比 为 10%。 
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FAY LX Al 


GTS、LR 与 CAR 三 者 均 采 用 了 令 牌 桶 技术 来 控制 流量 。 它 们 的 主要 区 别 
EF: 在 进行 报 文 流量 控制 时 ，CAR 对 超过 流量 限制 的 报 文 进行 丢弃 ; 
而 GTS 则 将 报 文 缓存 在 GTS 队 列 中 。 相 较 于 GTS，LR 不 但 能 够 对 超过 74 
流量 限制 的 报 文 进行 缓存 ， 并 且 可 以 利用 QoS 丰富 的 队列 来 缓存 报 文 。 


丢 包 量 少 ， 抗 突 发 强 时 延 大 ， 需 要 Buffer 资 源 级 存 报 广 
不 需要 Buffer 资 源 ， 时 延 小 丢 包 量 大 ， 抗 突 发 弱 








流量 监管 前 流量 监管 后 流量 整形 前 流量 整形 后 


~ 
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与 流量 整形 的 区 别 是 什么 ? 
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案 : 


mys 








流量 监管 (Traffic-policing) 是 三 种 在 入 接口 或 出 接口 应 用 的 
对 进入 路 由 器 的 某 流量 进行 限制 的 流量 管理 技术 。 


。 流量 监管 的 具体 实现 包括 单 桶 单 速 、 双 桶 单 速 、 双 桶 双 速 方 


。 流量 整形 (traffic shaping) 的 典型 作用 是 限制 流出 某 一 网 络 
的 某 一 连接 的 流量 与 突 发 ， 使 这 类 报 文 以 比较 均匀 的 速度 向 
外 发 送 

。 流量 整形 与 流量 监管 的 主要 区 别 : 在 进行 报 文 流 量 控制 时 ， 
流量 监管 是 对 超过 流量 限制 的 报 文 进行 丢弃 ; 而 流量 整形 则 

将 超过 流量 限制 的 报 文 缓存 在 队列 中 。 























Ne 
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一 人 一 全 一 

A 吾 
当 网 络 中 间歇 性 的 出 现 拥塞 ， 时 延 敏 感 业务 要 求 得 到 比 非 时 延 敏感 业务 更 
高 质量 的 QoS 服务 时 ， 需 要 进行 拥塞 管理 。 拥 塞 避免 是 指 通过 监视 网 络 资 
源 〈 如 队列 或 内 存 缓冲 区 ) 的 使 用 情况 ， 在 拥塞 发 生 或 有 加 剧 的 趋势 时 主 
动 丢 奔 报 文 ， 通 过 调整 网 络 的 流量 来 解除 网 络 过 载 的 一 种 流量 控制 机 制 。 
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培训 目标 


学 完 本 课程 后 ， 您 应 该 能 : 
。 理解 拥塞 管理 与 拥塞 避免 的 原理 。 
。 掌握 拥塞 管理 与 拥塞 避免 的 方法 。 
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拥塞 与 拥塞 管理 


流量 从 高 速 端 口 流 向 低速 端口 会 在 低速 端口 上 产生 拥塞 ， 如 图 A; 
流量 从 多 个 端口 流向 同一 个 端口 会 在 汇聚 端口 上 产生 拥塞 ， 如 图 B 
塞 管理 是 指 网 络 在 发 生 拥 塞 时 ， 如 何 进 行 管理 和 控制 。 处 理 的 X 
方法 是 使 用 队列 调度 技术 。 将 所 有 要 从 一 个 接口 发 出 的 报 文 进入 
多 个 队列 ， 按 照 各 个 队列 的 优先 级 进行 处 理 。 通 过 适当 的 队列 调 
度 机 制 ， 可 以 优先 保证 某 种 类 型 的 报 文 的 QoS 参数 ， 例 如 带宽 、 
时 延 、 拌 动 等 。 


Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved. w HUAWEI 





传统 网 络 所 面临 的 服务 质量 问题 ， 主 要 是 由 网 络 拥塞 引起 的 。 所 
谓 拥塞 ， 是 指 由 于 供给 资源 的 相对 不 是 而 造成 服务 速率 下 降 (5| 
入 了 额外 的 延迟 ) 的 一 种 现象 

对 于 网 络 单元 ， 当 数据 包 到 达 的 速度 大 于 该 接口 发 送 数据 包 的 速 
度 时 ， 在 该 接口 处 就 会 产生 拥塞 。 如 果 没 有 足够 的 存储 空间 来 保 
存 这 些 分 组 ， 它 们 其 中 的 一 部 分 就 会 丢失 。 数 据 包 的 丢失 又 可 能 
会 导致 发 送 该 数据 包 的 主机 或 路 由 器 因 超时 而 重 传 此 数据 包 ， 这 
将 导致 恶性 循环 。 

当 拥塞 发 生 时 , ,多 个 报 文 会 同时 竞争 使 用 资源 ， 导致 得 不 到 资源 
的 某 些 业务 报 文 被 丢弃 ， 尤 其 不 能 保证 关键 业务 的 带宽 、 时 延 、 
抖动 等 Qos 人 参数 。 此 时 如 何 制 定 一 个 资源 的 调度 策略 决定 报 文 转 
发 的 处 理 次 序 、 就 是 拥塞 管理 的 中 心 内 容 。 对 于 拥塞 管理 ， 一 般 
采用 排队 技术 ， 它 包括 队列 的 创建 ， 决 定 报 文 的 队列 归属 的 流 分 
类 ， 以 及 队列 间 的 调度 策略 。 

最 初 的 队列 调度 策略 只 有 FIFO (先进 先 出 ) ， 后 来 为 了 满足 不 同 
业务 的 需求 ， 设 计 了 多 种 调度 策略 。 

队列 调度 机 制 由 两 部 分 组 成 : 硬件 队列 和 软件 队列 。 硬 件 队列 也 
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叫 发 送 队 列 (Transmit Queue, TxQ) ， 接 口 驱动 在 逐个 传输 数 
据 包 的 时 候 需要 使 用 这 个 队列 ， 这 个 队列 是 FIFO 队 列 。 软 件 队列 
根据 QoS 的 要 求 把 数据 包 调度 到 硬件 队列 ， 软 件 队列 可 以 使 用 多 
种 调度 方式 。 

数据 包 在 硬件 队列 已 满 的 情况 下 才 进 入 软件 队列 调度 。 

硬件 队列 的 长 度 跟 接口 的 带宽 设置 有 关 ， 接 口 带宽 大 ， 传 输 时 延 
就 小 ， 因 此 队列 长 度 可 以 设 得 长 一 些 ， 反 之 ， 队 列 长 度 要 设 得 小 
一 些 。 合 理 设置 硬件 队列 长 度 非 常 关键 ， 硬 件 队列 长 度 过 长 会 影 
响 软 件 队 列 执行 策略 的 效果 ， 因 为 硬件 队列 是 使 用 FIF9 机 制 进行 
调度 的 ; 硬件 队列 长 度 太 短 会 影响 调度 的 效率 ， 导 致 链 路 利用 率 
降低 和 CPU 占用 过 高 。 
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队列 技术 


当 拥塞 发 生 时 ， 多 个 报 文 会 同时 竞争 使 用 资源 ， 导致 得 不 到 资源 的 
某 些 业务 报 文 被 丢弃 ， 尤 其 不 能 保证 关键 业务 的 带宽 、 时 延 、 抖 动 
等 QoS 参数 。 此 时 如 何 制 定 一 个 资源 的 调度 策略 决定 报 文 转 发 的 处 K 
理 次 序 ， 就 是 拥塞 管理 的 中 心 内 容 。 对 于 拥塞 管理 ， 一 般 采 用 队列 
调度 技术 ， 常 见 的 队列 调度 技术 有 以 下 几 种 : 

e FIFO: First In First Out， 先 进 先 出 队列 

。 RR: Round Robin ， 轮 询 队列 

。 WRR: Weight Round Robin ， 按 权重 轮 询 队 列 

。 PQ: Priority Queuing， 优 先 级 队列 

。 CQ: Custom Queuing， 自 定义 队列 

。 WFQ: Weighted Fair Queuing， 加 权 公 平 队列 
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常用 的 队列 调度 机 制 如 下 : 

1、FIFO: First In First OQut， 先 和 进 先 中 队列 

2、RR: Round Robin， 轮 询 队 列 

3、WRR: Weight Round Robin ， 按 权重 轮 询 队列 

4、PQ: Priority Queuing 训 优先 级 队列 

5、CQ: Custom Queuing, BE XBA JI 

6. WFQ: Weighted Fair Queuing， 加 权 公 平 队列 

队列 是 一 个 比较 容易 理解 的 概念 ， 我 们 在 日 常生 活 中 也 用 到 类 似 
技术 。 例 如 我 们 去 电影 院 买 票 的 时 候 ， 大 家 排 成 几 队 顺序 买 票 ， 

排 在 前 面 的 先 拿 到 票 ; 有 时 突然 冲 出 一 个 人 跑 到 队伍 的 最 前 面 拿 
出 证 件 马上 就 拿 到 了 票 ， 这 类 人 属于 特权 阶级 需要 优先 处 理 ， 后 
面 的 人 只 能 等 这 类 人 买 完 票 才 能 继续 排队 买 票 。 

队列 调度 机 制 是 QoS 中 非常 重要 的 一 个 技术 ， 是 拥塞 管理 机 制 。 

在 出 接口 发 生 拥塞 时 ， 通 过 适当 的 队列 调度 机 制 ， 可 以 优先 保证 
某 种 类 型 的 报 文 的 QoS 参数 ， 例 如 带宽 、 时 延 、 拌 动 等 。 我 们 这 
蜂 所 说 的 队列 是 指出 队列 ， 其 作用 是 在 接口 有 能 力 发 送 报 文 之 前 
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先 将 报 文 在 内 存 中 保留 下 来 ， 直 到 接口 可 以 继续 发 送 报 文 ， 所 以 
队列 调度 机 制 都 是 在 出 端口 发 生 拥 塞 情况 下 产生 作用 ， 另 外 一 个 
主要 作用 就 是 将 报 文 重新 排序 (FIFO 除 外 ) 。 
主要 的 队列 调度 包括 : FIFO、RR、WRR、PQ、CQ、WFQ, 我 
们 可 以 从 分 类 、 委 奔 策 略 、 单 一 队列 内 的 调度 方式 、 ne 
调度 方式 、 队 列 数目 和 队列 长 度 各 方面 来 比较 学 习 这 些 队 列 技术 5 
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FIFO: First In First Out 


从 接口 输出 的 报 文 ， 按 照 到 达 的 先后 顺序 进入 接口 的 FIFO 卫 列 % 人 调度 器 按 
照 先 进 先 出 的 原则 ， 从 队 首 开始 ， 依 次 发 送 报 文 。 所 有 的 报 交 在 发 送 过 程 
中 ， 没 有 任何 区 别 ， 也 不 对 报 文 传送 的 质量 提供 任何 保证 
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FIFO 是 队列 机 制 中 最 简单 的 。 每 个 接 晶 此 只 有 一 个 FIFO 队 列 ， 表 
面 上 看 FIFO 队 列 并 没有 提供 什么 QoS 保 证 ， 实 则 不 然 。 既 然 只 
一 个 队列 ， 自 然 不 需要 考虑 把 体 么 类 型 的 报 文 放 入 到 哪个 队列 的 
问题 ， 也 不 用 考虑 下 一 个 报 文 从 哪个 队列 拿 包 、 怎 么 拿 、 拿 多 少 
的 问题 ， 即 FIFO 无 需 流 分 类 、 调 度 机 制 ， 而 且 因为 按 顺序 取 报 文 ， 
FIFO 无 需 对 报 文 重新 排序 。 简 化 了 这 些 程序 其 实 也 就 提高 了 对 时 
延 的 保证 。 

FIFO 关 心 的 就 是 队列 长 度 问 题 ， 队 列 长度 会 影响 到 时 延 、 拌 动 、 
丢 包 率 。 因 为 队列 长 度 是 有 限 的 ， 有 可 能 被 填 满 ， 这 就 涉及 到 该 
机 制 的 丢弃 原则 ，FIFO 使 用 Tail Drop 机 制 。 如 果 定 义 了 较 长 的 队 
列 长 度 ， 那 么 队列 不 容易 填 满 ， 被 丢弃 的 报 文 也 就 少 了 ， 但 是 队 
列 长 度 太 长 了 会 出 现时 延 的 问题 ， 一 般 情 况 下 时 延 的 增加 会 导致 
抖动 也 增加 ;> 如 果 定 义 了 较 短 的 队列 ， 时 延 的 问题 可 以 得 到 解决 ， 
但 是 发 生 Tail Drop 的 报 文 就 变 多 了 。 类 似 的 问题 其 它 排 队 方法 
存在 。 

Tail Drop 机 制 简单 的 说 就 是 如 果 该 队列 已 经 满 了 ， 那 么 后 续 进 入 
的 报 文 被 丢弃 ， 而 没有 什么 机 制 来 保证 后 续 的 报 文 可 以 挤 掉 已 经 
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在 队列 内 的 报 文 。 

优点 : 

1、 简 单 。 

、 没 有 公平 性 ， 不 同 的 流 之 间 不 互相 隔离 ， 当 某 一 个 流 的 带宽 

i 时 候 会 占用 其 他 流 的 带宽 ， 并 且 造 成 其 他 流 的 时 延 增加 。 

2、 当 拥塞 发 生 的 时 候 ，FIFO 对 一 部 分 报 文 进行 丢 奔 。TCPR 的 连 
接 发 现 有 丢 包 后 ， 会 降低 传输 的 速度 ， 来 主动 的 避免 拥塞 5 但 是 

UDP 是 非 连接 的 ， 不 降低 发 送 速率 。 导 致 FIFO 中 TCP 和 WDP 的 报 
文 不 平衡 ，TCP 的 流量 太 低 。 


3、 一 条 流 的 突 发 流量 可 能 占用 全 部 buffer， 将 其 他 的 流量 全 都 阻 
EF o 
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RR: Round Robin 





RR 是 Round Robin 的 缩写 ， 是 一 种 简单 的 调度 方法 ， 采 用 轮 询 的 方式 ， 对 
多 个 队列 进行 调度 RR 以 环形 的 方式 轮 询 多 个 队列 。 如 果 软 询 的 队 列 不 为 空 ， 
则 从 该 队列 取 走 一 个 报 文 ; 如 果 该 队列 为 空 ， 则 直接 跳 过 该 队列 ， 调 度 器 
并 不 等 待 。 
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优点 : 

1、 隔 离 了 不 同 的 流 ， 实 现 了 队列 之 间 对 带宽 的 平等 利用 

2、 剩 余 带 宽 能 够 被 其 他 队列 平均 分 配 

缺点 : 

1、 无 法 设置 队列 占用 带宽 的 权重 ; 

2、 当 不 同 队列 中 的 报 文 长 度 不 一 的 时 候 ， 调 度 不 准确 ; 

3、 当 调度 速率 低 的 时 候 ， 时 延 和 抖动 的 问题 比较 突出 ， 比 如 一 个 
包 到 达 一 个 空 队 列 ， 而 这 个 队列 刚刚 被 调度 完毕 ， 则 这 个 包 要 等 
到 其 他 全 部 的 队列 调度 完 才 能 取得 出 接口 的 机 会 ， 这 样 会 导致 拌 
MRA, 乌 是 如 果 调 度 速 度 非常 高 ， 则 这 种 时 延 可 以 忽略 ，RR 
在 高 速 路 由 器 内 部 有 很 多 应 用 。 
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WRR: Weight Round Robin 


队列 a 权重 3 
f+ JL 


队列 b 权重 2 


Te | ( )\ | i 
ead) oar 


c 


队列 c 权重 1 
ECE 
WRR (Weighted Round Robin) 主要 针对 RR 不 能 设置 权重 的 不 足 ， 在 轮 
询 的 时 候 ， 每 个 队列 享受 的 机 会 和 该 队列 的 权重 成 比例 。WRR 最 初 是 针对 
固定 包 长 (ATM) 设计 的 调度 算法 。WRR 对 于 空 的 队列 直接 跳 志 ， 调 度 一 
周 结束 的 时 间 变 短 ， 因 此 当 某 个 队列 的 流量 小 的 时 候 ， 秋 余 带宽 能 够 被 其 
他 队列 按照 比例 占用 。 
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优点 : 

1、 能 够 按照 权重 来 分 配 带宽 ， 某 个 队列 的 剩余 带宽 能 够 为 其 他 队 
列 公 平 占用 ， 低 优先 级 的 队列 同样 能 够 得 到 调度 ， 不 存在 饥饿 的 
问题 。 

2、 实 现 简单 、 复 杂 度 低 。 

3、 适 合 diffserv 聚 合 后 的 端口。 

缺点 : 

1、 与 RR 调 度 算 法 一 致 ， 在 报 文 长 度 不 一 致 的 时 候 ， 调 度 不 准确 。 
2、 在 调度 速率 低 的 时 候 报 文 的 时 延 控制 的 不 好 ， 时 延 抖 动 无 法 预 
期 。 
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PQ: Priority Queuing 














PQ (Priority Queuing) 是 一 种 按照 严格 优先 级 (SP, StrictPriority) 进行 
调度 的 队列 。PQ 对 队列 划分 等 级 ， 只 有 高 优先 级 的 队列 排 室 以 后 才 会 从 
低 一 级 的 队列 调度 报 文 ， 这 样 重要 的 业务 比 其 他 业务 提前 获得 服务 
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常规 情况 下 PQ 有 四 个 级 别 的 队列 7A Top, Middle, Normal, 
Bottom ， 不 过 目前 的 设备 大 部 分 都 实现 了 8 个 优先 级 队列 ， 只 要 相 
对 高 的 优先 级 队列 有 报 文 ， 就 坟 直 傣 高 优先 级 队列 取 报 文 ， 所 以 
PQ 的 优 缺 点 是 很 明显 的 。 

PQ 队 列 的 优点 是 可 以 保证 高 优先 级 队列 的 报 文 可 以 得 到 较 大 带宽 、 


及 时 的 调度 ， 甚 至 得 秘 到 调度 ， 即 会 出 现 “ 饿 死 ” 现 象 。 

PQ 具有 如 下 特征 : 

1、 可 以 使 用 ACL 对 报 文 进行 分 类 ， 根 据 需要 将 报 文 入 队列 ; 

2. RMAF REA Tail Drop 机 制 ， 且 只 有 这 一 种 机 制 ; 

3、 队 列 长 度 可 以 设置 为 0， 表 示 该 队列 无 穷 大 ， 即 进入 该 队列 的 
报 文 不 会 被 fail Drop 机 制 丢弃 ， 除 非 内 存 耗 尽 了 ; 

4、 人 队列 内 部 使 用 FIFO 逻 辑 ; 

5 必 当 从 队列 调度 报 文 时 ， 先 从 高 优先 级 的 队列 调度 报 文 。 

从 PQ 特 点 可 以 看 出 ，PQ 保 证 某 类 流量 尽 可 能 得 到 最 好 的 服务 ， 
而 不 管 其 它 流量 的 “死活 ”。 
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优点 : 

1、 高 优先 级 队列 的 时 延 控制 非常 好 。 

2、 实 现 简单 ， 能 够 区 分 多 种 业务 。 

缺点 : 

1、 无 法 做 到 带宽 的 合理 分 配 ， 高 优先 级 的 流量 比较 大 的 时 候 ， 身 人 
KERERE “RIE (starvation) ”。 

2、 高 优先 级 的 时 延 得 到 保证 的 代价 是 牺牲 低 优先 级 的 时 延 % 

3、 如 果 高 优先 级 传送 TCP 流 量 ， 低 优先 级 传送 UDP 流 量 兴 则 TCP 
增加 传送 速率 ， 导 致 UDP 流 量 无 法 得 到 足够 的 带宽 。 
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CQ: Custom Queuing 


Q 


他 队列 之 间 是 SP 的 关系 ， 只 有 队列 0 排 空 以 后 才能 为 其 他 队列 提供 服务 ， 队 
列 0 一般 用 于 协议 报 文 。 队 列 1 至 16 没 有 优先 级 关系 ， 采 用 轮 询 的 方式 ， 每 次 
调度 的 时 候 从 队列 中 调度 固定 字 节 数 GEE) ， 在 轮 询 呈 一 个 队列 之 前 ， 
将 数据 包 发 出 去 。 当 某 个 队列 已 经 调度 了 规定 的 字 节 数 , 伍 者 该 队列 已 经 空 ， 
则 轮 询 下 一 个 队列 。 
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RMI Fe Se EAC AY A A E ANA ESR Ve BE A 
量 ， 每 次 队列 调度 的 时 候 ， 如 果 报 文 长 度 超过 配置 的 字 节 长 度 ， 

则 报 文 被 调度 ， 这 种 办 法 可 以 防止 字 节 数 配 置 的 太 小 ， 导 致 某 个 
队列 阻塞 。 但 是 这 种 做 法 当 配 置 宗 节 数 量 比较 小 的 时 候 ， 会 导致 
带宽 分 配 不 准确 。 比 如 某 个 队列 配置 的 调度 字 节 数 为 500 字 节 ， 而 
这 个 队列 中 的 报 文 一 般 都 是 1000 字 节 以 上 ， 则 这 个 队列 实际 分 配 
的 带宽 要 比 预期 的 大 。 如 果 将 调度 的 字 节 数 配置 的 比较 大 ， 则 时 
延 表现 不 好 。CQ 一 次 可 以 调度 多 个 报 文 ， 数 量 为 每 次 调度 的 字 节 
数目 能 够 容纳 的 包 的 个 数 。 


优点 : 

1、 按 照 比例 来 分 配 带宽 ， 当 某 个 队列 的 流量 小 的 时 候 ， 其 他 队列 
能 等 比 的 吉 用 带宽 。 

2. SHS. 

TR: 

1、 当 配置 字 节 数 小 的 时 候 ， 带 宽 分 配 不 准确 ， 当 配置 字 节 数 大 的 
时 候 ， 时 延 抖 动 比较 大 。 
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WFQ: Weighted Fair Queuing 


队列 


需 由 此 接口 、 n . 
发 送 的 报 文 | 离开 接口 的 报 文 


Ai 一 、 
he a UHI xX 
Á z pi na 


出 队 调度 


说 明 DOE 名 类 报 文 


报 文 到 达 接 口 后 ， 首 先 对 报 文 进行 分 类 ， 不 同 的 流 分 入 不 同 的 队 唱 。 在 出 
队 的 时 候 ，WFQ 按 流 的 权重 分 配 每 个 流 应 占 的 带宽 。 权 重 数值 越 小 ， 所 得 
的 带宽 越 少 。 权 重 数值 越 大 ， 所 得 的 带宽 越 多 。 这 样 就 保证 了 相同 优先 级 
业务 之 间 的 公平 ,体现 了 不 同 优先 级 业务 之 间 的 权 值 。 
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WFQ: 加 权 公 平 队列 (以 后 简称 WF@)= 对 报 文 按 流 进行 分 类 ， 
对 于 IP 网 络 ， 可 以 将 相同 源 IP 地 址 ， 由 的 IP 地 址 ， 源 端口 号 ， 目 
的 端口 号 ， 协 议 号 ，IP 优 先 级 的 报 文 属 于 同一 个 流 ，〈 有 点 象 是 
同一 个 用 户 ) 而 对 于 MPLS 网 络 NA 具有 相同 的 标签 和 EXP 域 值 的 报 
文 属于 同一 个 流 。 每 一 个 流 被 分 配 到 一 个 队列 ， 尽 量 将 不 同 的 流 
分 入 不 同 的 队列 。 在 出 队 的 时 候 ，WFQ 按 权重 来 分 配 每 个 流 应 点 
有 出 口 的 带宽 。 权 重 的 数值 越 小 ， 所 得 的 带宽 越 少 。 权 重 的 数值 
越 大 ， 所 得 的 带宽 越 多 。 这 样 就 保证 了 相同 优先 级 业务 之 间 的 公 
平 ， 体现 了 不 同 优先 级 业务 之 间 的 权 值 。 

例如 : 接口 中 当前 有 8 个 流 ， 它 们 的 权重 值 分 别 为 1、2、3、4、5、 
6、7、8。 则 带宽 的 总 配额 将 是 所 有 权重 值 之 和 ， 即 : 1+ 2+3+ 
4+5+6+%+ 85 36. 

每 个 流 所 点 带宽 比例 为 : 各 自 的 权重 /带宽 的 总 配额 。 即 ， 每 个 流 
可 得 的 带宽 比例 分 别 为 : 1/36、2/36、3/36、4/36、5/36、6/36、 
7/36, 8/36. 

由 陛 可 必 ，WFQ 在 保证 公平 的 基础 上 对 不 同 优先 级 的 业务 体现 权 
值 ， 而 权 值 依赖 于 IP 报 文 头 中 所 携带 的 IP 优 先 级 。 
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优点 : 

1、 按 照 字 节 粒度 进行 调度 ， 调 度 公平 。 
2、 能 区 分 业务 ,分配 权重 。 

3、 时 延 控 制 的 好 ， 拌 动 小 。 

缺点 : 

1、 实 现 复杂 。 
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各 种 队列 调度 技术 对 比 





队列 技术 | ”调度 的 时 延 / 拌 动 (在 速率 低 的 时 候 明 显 , 
速度 绝对 高 的 时 候 可 忽略 ) 


高 优先 级 队列 的 时 延 控制 非常 好 
配置 字 节 数 小 的 时 候 ， 带 宽 分 配 不 准确 ， 


当 
配置 字 节 数 大 的 时 候 ， 时 延 拌 动 比较 大 
差 








时 延 控 制 较 好 ， 拌 动 小 
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各 种 队列 调度 技术 的 优 缺 点 : 

(一 ) FIFO: 

优点 : 

1、 简 单 。 

nee 

、 没 有 公平 性 ， 不 同 的 流 之 问 不 互相 隔离 ， 当 某 一 个 流 的 带宽 大 
A 时 候 会 占用 其 他 流 的 带宽 ， 并 且 造 成 其 他 流 的 时 延 增加 。 

、 当 拥塞 发 生 的 时 候 ,。 FIFO 对 一 部 分 报 文 进行 丢弃 。TCP 的 连 
ea 会 降低 传输 的 速度 ， 来 主动 的 避免 拥塞 ， 但 是 
UDP 是 非 连接 的 ， es 束 率 。 导 致 FIFO 中 TCP 和 UDP 的 报 
文 不 平衡 ,TCP 的 流量 太 低 。 

3、 一 条 流 的 突 发 流量 可 能 占用 全 部 buffer， 将 其 他 的 流量 全 都 阻 
断 。 

(J. RR: 

优点 : 

个 、 隔 离 了 不 同 的 流 ， 实 现 了 队列 之 间 对 带宽 的 平等 利用 
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2、 剩 余 带 宽 能 够 被 其 他 队列 平均 分 配 。 
缺点 : 
、 无 法 设置 队列 占用 带宽 的 权重 ; 
2、 当 不 同 队 列 中 的 报 文 长 度 不 一 的 时 候 ， 调 度 不 准确 ; 
3、 当 调度 速 束 率 低 的 时 候 ， 时 延 和 择 动 的 问题 比较 突出 ， 比 如 一 会 ( 
包 到 达 一 个 空 队 列 ， 而 这 个 队列 刚刚 被 调度 完毕 ， 则 这 个 包 要 等 
到 其 他 全 部 的 队列 调度 完 才能 取得 出 接口 的 机 会 ， 这 样 会 导致 持 
动 比较 大 ， 但 是 如 果 调 度 速度 非常 高 ， 则 这 种 时 延 可 以 忽略 ,，RR 
在 高 速 路 由 器 内 部 有 很 多 应 用 。 
(=) WRR: 
优点 : 
1、 能 够 按照 权重 来 分 配 带宽 ， 某 个 队列 的 剩余 带宽 能 够 为 其 他 队 
列 公平 占用 ， 低 优先 级 的 队列 同样 能 够 得 到 调度 ， 不 存在 饥 俄 的 
问题 。 
2、 实 现 简单 、 复 杂 度 低 。 
3、 适 合 diffserv 聚 合 后 的 端口 。 
n 

、 与 RR 调 度 算 法 一 致 ， 在 报 文 长 度 不 一 致 的 时 候 ， 调 度 不 准确 。 

、 在 调度 速率 低 的 时 候 报 文 的 时 延 控 制 的 不 好 ， 时 延 拌 动 无 法 预 
- 
(四 ) PQ 
优点 : 
1、 高 优先 级 队列 的 时 延 控制 非常 好 。 
2、 实 现 简单 ， 能 够 区 分 多 种 业务 。 
缺点 : 

法 做 到 带宽 的 合理 分 配 ， 高 优先 级 的 流量 比较 大 的 时 候 ， 导 

BURGSCARA “RIE (starvation) ” 
5 ej elaine alin a aie yee EE. 


3S 如 果 高 优先 级 传送 TCP 流 量 ; 低 优 先 级 传送 UDP 流量 , 则 TCP 
增加 传送 速率 ， 导 致 UDP 流 量 无 法 得 到 足够 的 带宽 。 
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(五 ) CQ 

优点 : 

1、 按 照 比例 来 分 配 带 宽 ， 当 某 个 队列 的 流量 小 的 时 候 ， 其 他 队列 
能 等 比 的 占用 带宽 。 

2、 实 现 简 单 。 

缺点 : 
1、 当 配置 字 节 数 小 的 时 候 ， 带 宽 分 配 不 准确 ， 当 配置 字 节 数 大 的 
时 候 ， 时 延 抖动 比较 大 。 

(六 ) WFQ 

优点 : 

1、 按 照 字 节 粒度 进行 调度 ， 调 度 公平 。 

2、 能 区 分 业务 ,分配 权重 。 

3、 时 延 控 制 的 好 ， 拌 动 小 。 

缺点 : 

1、 实 现 复杂 。 
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队列 技术 在 产品 中 的 实现 


目前 产品 中 ， 主 要 使 用 FIFO、WFQ、PQ 三 种 队列 技术 来 实现 拥塞 管理 。 


对 于 队列 配置 ， 用 户 无 须 关 心 采 用 什么 抽象 的 调度 算法 ， 只 需 关心 队列 所 
承载 业务 的 外 在 流量 参数 特征 ， 比 如 保证 多 少 兆 的 带宽 、 峰 值 最 多 多 少 兆 
的 带宽 、 要 占 剩余 带宽 的 比例 权重 等 。 根 据 配置 的 流量 参数 选用 不 同 的 调 
度 算法 来 严格 保证 用 户 的 配置 。 

端口 队列 调度 采用 PQ+WFQ 调 度 算法 ， 采 用 这 种 调度 优势 在 于 ， 既 能 使 时 
延 敏 感 的 实时 业务 得 到 保证 ， 也 使 优先 业务 的 报 文 的 带宽 占用 可 以 绝对 优 
先 ， 又 可 以 为 不 同 优先 级 的 流 根 据 配 置 的 权重 分 配 不 同 的 带宽 。 
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对 于 DiffServ 模 型 ， 系 统 为 每 个 端口 预 留 8 个 业务 队列 ， 分 别 对 应 
BE，AF1 至 AF4，EF，CS6，CS7 等 业务 类 别 ， 对 AF1~AF4 以 及 
BE 队列 默认 配置 成 WFQ 调 度 ,SA 根据 配置 的 权重 参数 按 比例 分 配 带 
宽 。EF，CS6，CS7 队 列 默认 配置 PQ 调 度 ， 这 种 按照 绝对 优先 级 
调度 ， 一 般 是 时 延 敏感 的 业务 采用 PQ 调度 。 
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拥塞 避免 机 制 | 


拥塞 避免 是 一 种 流 控 机 制 ， 它 可 以 通过 监视 网 络 资源 (如 队列 或 内 存 缓 
冲 区 ) 的 使 用 情况 ， 在 拥塞 有 加 剧 的 趋势 时 ， 主 动 丢 弃 报 文 ， 通 过 调 
整 网 络 的 流量 来 解除 网 络 过 载 。 

传统 的 丢 包 策略 采用 尾部 丢弃 (Tail-Drop) 的 方法 。 当 队列 的 长 度 达 


到 某 一 最 大 值 后 ， 所 有 新 到 来 的 报 文 都 将 被 丢弃 。 这 种 丢弃 策略 会 引 
发 TCP 全 局 同步 现象 。 


为 避免 TCP 全 局 同步 现象 ， 可 使 用 RED 或 WRED。 
。 RED: Random Early Detection， 随 机 早期 检测 
e WRED: Weighted Random Early Detection， 加 权 随 桃 早期 检测 
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尾 丢 弃 (Tail-Drop) 的 缺点 


TCP 全 局 同步 
TCP 饥 饿 

高 延 时 和 高 抖动 
无 差别 的 丢弃 
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1、TCP 全 局 同步 

拥塞 避免 机 制 传统 的 处 理 方法 是 尾 丢 弃 ， 当 队列 的 长 度 达 到 规定 
的 最 大 长 度 时 ， 所 有 到 来 的 报关 都 被 丢弃 。 对 于 TCP 报 文 ， 由 于 
大 量 的 报 文 被 丢弃 ， 将 造成 TCP 超 时 ， 从 而 引发 TCP 的 慢 启 动 和 
拥塞 避免 机 制 ， 使 TCP 减 少 报 叉 的 发 送 。 当 队列 同时 丢弃 多 个 
TCP 连 接 的 报 文 时 ， 将 造成 多 个 TCP 连 接 同 时 进入 慢 启 动 和 拥塞 
HE, PRZATCPH alwys 这 样 多 个 TCP 和 连接 发 向 队列 的 报 文 
将 同时 减少 ， 使 得 发 向 队列 的 报 文 的 量 不 及 接口 发 送 的 速度 ， 减 
少 了 链 路 带宽 的 利用 并且， 发 向 队列 的 报 文 的 流量 总 是 忽 大 忽 
小 。 使 线路 的 上 的 流量 总 在 极 少 和 饱满 之 间 波 动 。 另 外 也 会 影响 
特定 流量 的 延 时 和 抖动 。 

2. TCP HU 

尾 丢 弃 会 造成 TCP 流 量 之 间 分 配 带宽 不 均衡 ， 一 些 “ 贪 禁 ” 的 流 
量 会 占用 大 部 分 的 带宽 ， 而 普通 的 TCP 流 量 分 配 不 了 带宽 而 “人 饿 
死 So 特别 是 网 络 中 既 有 TCP 又 有 UDP 流量 的 时 候 ，TCP 流 量 因 
为 窗口 机 制 ( 尾 丢弃 造成 滑动 窗口 减 小 ) 而 释放 带宽 ，UDP 济 量 
没有 窗口 机 制 ， 于 是 UDP 流 量 会 迅速 占用 TCP 释 放 的 带宽 ， 最终 
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造成 UDP 流量 占用 了 所 有 带宽 而 TCP 流 量 因 没有 带宽 分 配 而 “ 俄 
3. BUENAS Aa 

JA SSGEN MA oS Mo. 

4、 无 差别 的 丢 奔 ， 没 有 区 分 各 种 不 同 优先 级 的 报 文 。 4 
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RED: Random Early Detection 


| 最 大 丢弃 概率 


20 40 
(丢弃 下 限 ) (丢弃 上 限 ) ia i 
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为 了 避免 尾 丢 弃 的 这 些 问题 ， 必 须 在 端 晶 将 要 拥塞 之 前 进行 丢弃 。 
RED 就 是 一 种 在 队列 拥塞 之 前 进行 报 文 丢 弃 的 一 种 拥塞 避免 机 制 。 
RED 会 主动 丢弃 可 能 造成 拥塞 的 报关 。 他 能 够 使 TCP 会 话 所 占用 
的 输出 带宽 缓慢 的 降低 ， 不 会 引起 大 量 的 TCP 全 局 同步 以 及 TCP 
饥饿 ， 还 能 够 降低 平均 队列 长 度 。 

RED 共 有 三 种 丢弃 模式 ”绿色 报 文 不 丢弃 、 黄 色 报 文 概率 丢弃 、 
红色 报 文 全 丢弃 。 

这 三 种 模式 是 以 队列 丢弃 的 上 下 两 个 阀 值 (low-limitnhigh-limit) 
所 决定 的 。 

1、 绿 色 报 谈 一 一 当 平 均 队 列 长 度 小 于 low-limit 时 被 标记 为 绿色 ， 
不 进行 丢弃 。 

2、 黄 色 报 文 一 一 当 平 均 队列 长 度 介 于 low-limit 和 high-limit 之 间 时 ， 
报 文 被 标记 为 黄色 ， 进 行 概率 丢 奔 。 并 且 ， 队 列 的 长 度 越 长 ， 丢 
奔 的 概率 越 高 。 

3、 红 人 色 报 文 一 一 当 平 均 队 列 的 长 度 大 于 high-limit 时 ， 报 文 被 标记 
为 红色 。 并 且 进 行 全 部 丢弃 。 (此 时 进行 的 是 尾 丢 弃 ! ) 
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WRED: Weighted Random Early 
Detection 


] 最 大 丢弃 概率 


20 25 30 35 40 平均 队列 长 度 


mw AF2] 
ee AF22 
mm AF23 
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WRED (Weighted Random Early Detection) 与 RED 的 区 别 是 引 
入 了 优先 权 ， 不 同 的 优先 权 可 以 有 不 同 的 丢弃 策略 。 每 一 个 丢弃 
策略 都 包含 有 RED 的 三 个 参数 下 限 阀 值 、 上 限 阀 值 以 及 最 大 丢 
弃 概率 。 目 前 WRED 优 先 权 可 以 根据 DSCP 和 IP 优 先 级 进行 划分 ， 
对 低 优 先 级 报 文 的 丢弃 概率 大 于 高 优先 级 的 报 文 。 

DSCP AF PHB 表 示 为 aaadd0， 其 中 “aaa 表示 流量 类 别 ， ‘dd’ 
表示 丢弃 优先 级 。 比 如 AF2T010010)、AF22(010100) 和 
AF23(010110) 属 巴 同 一 个 流量 类 ， 并 且 在 拥塞 发 生 的 时 候 ， 丢 弃 
可 能 性 AF21<AF22<AF23， 所 以 在 配置 WRED 参 数 时 ， 可 以 按 图 
中 所 示 进 行 配置 。 对 标记 为 AF21 的 流量 下 限 设 为 35， 上 限 设 为 40; 
标记 为 AF22 的 流量 下 限 设 为 30， 上 限 设 为 40; 标记 为 AF23 的 流 
量 下 限 设 为 25, “上 限 设 为 40。 另 外 ， 在 达到 上 限时 的 丢弃 概率 是 
10%。 因 此 ,> 在 可 能 发 生 拥塞 之 前 ，AF23 的 数据 包 最 有 可 能 最 先 
RAF. 
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拥塞 避免 机 制 配置 举例 


RTB 


os1/0/0 
= ISP 
Pos1/0 


|| [RTA] port-wred 1 
[RTA -port-wred-1] color green low-limited 30 high- 
limited 80 discard-percentage 50 
[RTA -port-wred-2] color green low-limited 20 High 
limited 80 discard-percentage 80 
[RTA]inteface pos1/0/0 
[RTA-pos1/0/0]port-queue ef port-wred 1, outbotmd 
[RTA-pos1/0/0]port-queue be port-wred 2 Sutbound 
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在 流量 整形 部 分 对 RTA 的 POS1/0/0 端 日 配 置 了 两 个 服务 类 EF 和 
BE 的 调度 算法 分 别 为 PQ 和 WFQ， 这 里 针对 EF 服务 类 配置 了 
WRED 模 板 1，BE 服 务 类 配置 处 模板 2。 具 体 的 配置 步 又 如 下 : 
1、 对 优先 级 较 高 的 ef 流 将 低 间 限 和 高 门限 值 配 置 较 高 ， 丢 弃 概率 
设置 较 小 ， 缓 存 较 多 的 报关 。 
模板 1 color green low-limited 30 high-limited 80 discard- 
percent 50 
2. 在 接口 下 指定 EF 服务 类 指定 WRED 模 板 : 
[RTA-pos1/0/O]port-queue ef port-wred 1 outbound 
3、 对 优先 级 较 低 的 be 流 将 低 门 限 和 高 门限 值 配置 较 低 ， 丢 弃 概 率 
可 以 设置 比较 大 缓存 较 少 的 报 文 。 
模板 2 color green low-limited 20 high-limited 80 discard- 
percent 80 
ANERE Tis BEARS Ris EWREDEM : 
[RTA-pos1/0/0]port-queue be port-wred 2 outbound 


命 念 解释 如 下 : 
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port-wred port-wred-name 命 令 用 来 创建 类 队列 WRED 对 象 。 
color { green | yellow | red } low-limit low-limit-percentage high- 
limit high-limit-percentage discard-percentage discard- 
percentage 

命令 用 来 配置 WRED 模 板 的 拥塞 避免 机 制 ， 每 个 模板 最 多 支持 3 种 
颜色 报 文 的 处 理 ， 包 括 green、yellow 和 red。 每 个 VRED 模 板 最 SG 
多 支持 红 、 黄 、 绿 3 种 颜色 报 文 的 处 理 。 一 般 绿 色 报 文 设置 的 丢弃 
概率 比较 小 ， 高 、 低 门限 值 比较 大 ; 黄色 报 文 次 之 ; 红色 报 文 设 
置 的 丢弃 概率 最 大 ， 高 、 低 门限 值 最 小 。 

通过 配置 WRED 模 板 ， 用 户 可 以 为 队列 设 定 立 值 (包括 高 阅 值 、 低 
MAAR 

当 队 列 的 长 度 小 于 低 阔 值 时 ， 不 丢弃 报 文 ; 当 队 列 的 长 度 在 低 阔 
值 和 高 阔 值 之 间 时 ，WRED 开 始 随机 丢弃 报 文 ( 伏 烈 的 长 度 越 长 ， 
丢弃 的 概率 越 高 );， 当 队列 的 长 度 大 于 高 阅 值 时 $s、 丢弃 所 有 的 报 文 。 
每 种 颜色 报 文 的 门限 值 和 丢弃 概率 都 是 可 配置 的 ， 实 现 灵 活 。 

针对 带宽 比较 大 的 队列 ,一 般 说 明 这 种 流 的 优先 级 比较 高 ， 可 以 配 
置 WRED 的 低 门限 和 高 门限 值 都 比较 高 ,丢弃 概率 可 以 设置 比较 
小 ， 缓 存 较 多 的 报 文 ， 带 宽 小 的 队列 设置 反之 。 

注意 : 

1、WRED 模 板 只 是 配置 了 某 种 颜色 对 应 的 丢弃 概率 ， 并 未 指定 对 
应 何 种 服务 类 。 在 实际 使 用 时 需要 为 不 同 服务 级 别 的 队列 在 出 方 
向 指定 WRED 模 板 。 

2、 目 前 在 接口 配置 WRED 了 时 ， 对 于 上 行 的 WRED 没 有 作用 。 只 是 
对 下 行 的 队列 有 作用 。 命 令 各 参数 解释 如 下 : 
green，yellow,sredss 根 据 DSCP 值 中 的 后 面 两 位 确定 的 颜色 值 。 
low-limit-percentage: WRED 丢 痉 的 低 门 限 百 分 比 ， 表 示 WRED 
丢弃 的 低 门限 值 占 类 队列 长 度 的 百分比 。 整 数 形式 ， 取 值 范围 是 
0 一 100， 单 位 是 percentage ， 缺 省 值 为 100。 
high-limit-percentage: WRED 丢 弃 的 高 门限 百分比 ， 表 示 WRED 
丢弃 的 高 头 限 值 占 类 队列 长 度 的 百分比 。 整 数 形式 ， 取 值 范围 是 
low-limmit-percentage 一 100， 单 位 是 percentage ， 缺 省 值 为 100。 
discard-percentage-value: WRED 的 丢弃 概率 百分比 。 整 数 形式 ， 
取 值 范围 是 1 一 100， 缺 省 值 为 100。 
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常用 的 拥塞 避免 有 哪些 ? 
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案 : 


IX 





。 拥塞 管理 是 指 网 络 在 发 生 拥 塞 时 ， 如 何 进 行 管理 和 控制 。 


。 常见 的 队列 调度 技术 有 以 下 几 种 : FIFO, RR, WRR, PQ, 
CQ, WFQ. 


。 拥塞 避免 是 一 种 流 控 机 制 ， 它 可 以 通过 监视 网 络 资源 〈 如 队 
列 或 内 存 缓冲 区 ) ,的 使 用 情况 ， 在 拥塞 有 加 剧 的 趋势 时 ， 主 
动 丢 弃 报 交 通过 调整 网 络 的 流量 来 解除 网 络 过 载 。 

。 常用 的 拥塞 避免 有 尾 丢 奔 、RED、WRED。 
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培训 目标 


学 完 本 课程 后 ， 
+ 理解 链 路 效率 机 制 的 原理 。 
。 掌握 链 路 效率 机 制 的 配置 。 
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链 路 效率 机 制 | 


IPHC: IP Header Compression，IP 报 文 头 压缩 
。 RTP 报 文 头 压缩 
。TCP 报 文 头 压缩 
LFI: Link Fragmentation and Interleaving ， 链 路 分 片 与 交叉 


xX 
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VRP 提 供 了 两 种 链 路 效率 机 制 : PIRE RN (IP Header 

Compression, IPHC) 和 链 路 分 片 与 交 又 (Link Fragmentation 

and Interleaving, LFI) 。 其 中 IP 报 文 头 压 缩 协 议 可 以 对 RTP 和 

TCP 报 文 头 进行 压缩 。 

对 于 同一 个 流 的 数据 部 ，IR 头 部 的 大 部 分 字段 是 相同 的 ， 因 此 可 
以 对 这 些 字 段 进行 压缩 ,a 提高 链 路 传输 的 效率 。 

LFI 技 术 主 要 在 低速 链 路 上 使 用 ， 目 的 是 减 小 实时 数据 报 文 的 延 时 
MA ZH 
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IPHC: IP Header Compression 


需 由 此 接口 
发 送 的 报 文 


IES 


图 示 说 朋 : 4 is RTP 和 TCP 报 文 


ESES 
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IP 报 文 头 压缩 协议 (IP Header Compression, IPHC) 是 一 个 主 
机 -主机 协议 ， 用 于 在 IP 网 络 上 承载 语音 、 视 频 等 实时 多 媒体 业务 ， 
是 在 PPP 链 路 和 FR 链 路 应 用 的 低速 链 路 技术 。IPHC 支 持 对 RTP 和 
TCP 报 文 头 的 压缩 。 

RTP 包 括 数据 部 分 和 头 部 分 ，RTP 的 数据 部 分 相对 较 小 ， 而 RTP 
的 头 部 分 较 大 。12 字 节 的 RTP 头 ， 加 上 20 字 节 的 IP 头 和 8 字 节 的 
UDP 头 ， 就 是 40 字 节 的 IP/UDP/RTP 头 。 而 RTP 典 型 的 负载 是 20 
字 节 到 160 字 节 。 为 了 了 避免 不 必要 的 带宽 消耗 ， 可 以 使 用 IPHC 特 
性 对 报 文 头 进行 压缩 全 IJPHC 将 IPIUDP/RTP 头 从 40 字 节 压 缩 到 2 一 
4 字 节 ， 对 于 40 字 节 的 负载 ， 头 压缩 到 4 字 节 ， 压 缩 比 为 (40+40) 
/ (40+4) 估 约 为 4.82， 可 见效 果 是 相当 可 观 的 。 

对 于 TCP 数 据 包 ，IP 头 加 上 TCP 头 一 共 40 字 节 ， 使 用 TCP 压 缩 ， 
可 以 压缩 到 3 之 5 字 节 。 
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配置 IPHC 


|| interface Serial0 


|| interface Serial0 
link-pro ppp 
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示例 中 在 串 行 链 路 的 两 端 执行 |P 头 压缩 js 其 中 最 大 RTP 和 TCP 头 
压缩 的 连接 数 为 20。 

具体 配置 命令 解释 如 下 。 

启动 |P 头 压缩 

1、 进 入 系统 视图 : system-view 

2、 进 入 接口 视图 : interfaceinterface-type interface-number 

3、 启 动 IP 头 压缩 : ppp.compression iphc [ nonstandard ] 

ppp compression iphc 命 令 用 来 启动 某 接口 上 的 IP 头 压缩 ，undo 
ppp compressiormiphc 命 令 用 来 关闭 IP 头 压缩 功能 。 

缺 省 情况 下 ;不 启动 接口 上 的 IP 头 压缩 功能 。 

IP 报 文 头 压缩 命令 将 启动 IP/UDP/RTP 头 压缩 ， 以 及 建立 RTP 会 话 
的 IP/TCP 头 压缩 。 

用 户 必须 在 链 路 的 两 端 同时 配置 IP 头 压缩 命令 。 

在 配置 完成 后 ， 只 有 对 接口 进行 shutdown 与 undo shutdown 操 作 


后 ,配置 才能 生效 。 如 果 是 应 用 在 MP 上 ， 要 对 所 有 MP 捆绑 的 接 
同 执 行 shutdown 与 undoshutdown 操 作 。 
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配置 RTP 头 压缩 的 最 大 连接 数 。 

1、 进 入 系统 视图 : system-view 

2、 进 入 接口 视图 : interface interface-type interface-number 

3、 配 置 RTP 头 压缩 的 最 大 连接 数 : ppp compression iphc rtp- 
connections number X 
number: 指 该 接口 上 IPHC 功 能 的 RTP 头 压缩 的 最 大 连接 数 ， 和 耶 
值 范 围 3 一 1000， 缺 省 值 为 16。 

ppp compression iphc rtp-connections 命 令 用 来 指定 基 殊 全 接口 
上 人 允许 存在 RTP 头 压缩 连接 的 总 数 ，undo ppp compression iphc 
rtp-connections 命 令 可 以 取消 配置 ， 恢 复 缺 省 值 。 

配置 将 在 对 接口 进行 shutdown 与 undo shutdown 操 作 后 生效 。 如 
果 是 对 MP 进行 配置 ， 则 shutdown 与 undo shutdown 操 作 必 须 在 所 
有 MP 上 实施 。 
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配置 IPHC 


/Error/Discard/Total: 0/0/0/0 


0/0 (Pack 
: 0/0/0 (Bytes) 
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配置 完毕 可 以 使 用 “display ppp compression iphc rtp 命令 观察 


IPHC 的 效果 。 
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LFI: Link Fragmentation and Interleaving 


队列 


RTPQ 或 LLQ 


出 队 调 度 离开 接口 的 报 文 X 


图 示 说 明 : “i RTP 报 文 


邮 @ xes2nx 分 片 队列 | 
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链 路 分 片 与 交叉 是 在 PPP 链 路 和 FR 链 路 应 用 的 低速 链 路 技术 。 

在 低速 串 行 链 路 上 ， 实 时 交互 式 通信 ,如 Telnet 和 VolP， 往 往 会 
由 于 大 型 分 组 的 发 送 而 导致 阻塞 延迟 ， 例 如 ， 正 好 在 大 报 文 被 调 
度 而 等 待 发 送 时 ， 语 音 报 文 到 达 AN 它 需要 等 该 大 报 文 被 传输 完毕 
后 才能 被 调度 。 对 于 诸如 交互 式 语 音 等 实时 应 用 而 言 ， 大 报 文 导 
致 的 这 种 阻塞 延迟 太 长 了 寺庙 将 听 到 断断续续 的 话音 。 交 互 式 
语音 要 求 端 到 端的 延迟 不 大 于 100~150ms。 

一 个 1500bytes 〈 即 通常 MTU 的 大 小 ) 的 报 文 需要 花费 215ms 穿 
过 56Kbps 的 链 路 上 这 超过 了 人 所 能 忍受 的 延迟 限制 。 为 了 在 相对 
低速 的 链 路 上 限制 实时 报 文 的 延迟 时 间 ， 例 如 56Kbps Frame 
Relay 或 64KbpsJISDN B 通 道 ， 需 要 一 种 方法 将 大 报 文 进行 分 片 ， 
将 小 报 文 和 大 报 文 的 分 片 一 起 加 入 到 队列 。 

LFI 将 太 型 数据 帧 分 割 成 小 型 帧 ， 与 其 他 小 片 的 报 文 一 起 发 送 ， 从 
而 减少 在 速度 较 慢 的 链 路 上 的 延迟 和 拌 动 。 

上 图 描述 了 链 路 分 片 与 交叉 的 处 理 过 程 。 大 报 文 和 实时 报 文 一 起 
到 达 某 个 接口 时 ， 除 了 RTP 实 时 队列 和 LLQ 队 列 中 的 报 文 外 ， 其 
他 队列 中 的 大 报 文 将 被 分 成 若干 小 包 放 入 分 片 队列 进行 发 送 ; 但 
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如 果 此 时 RTP 实 时 队列 和 LLQ 中 有 缓存 的 报 文 ， 则 优先 调度 RTP 
实时 队列 和 LLQ 队 列 ， 否 则 继续 调度 分 片 队列 ， 这 样 就 避免 了 在 
低速 链 路 上 传送 大 包 对 实时 报 文 造成 的 时 延 与 抖动 。 


xX 
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Oia 题 


常用 链 路 效率 机 制 有 哪些 ? 
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Q: 常用 链 路 效率 机 制 有 哪些 
A: IPHC, LFI 
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参考 : IP 城 域 网 QoS 解 决 方案 


Telecom 


队列 调度 和 拥 Internet í Services k 
BBR. backbone backbone 
NY SS Backbone network 


L3 networks 


wee 


t 


p) 


as Feige 


L2 network< 
3 Broadband 
Le Twi ,TR | Access Network 





Enterprise 
phone EYE private leased 
line 


Internet BTV NGN VOD Video OPEN 
voici 


access 
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随 着 网 络 业 务 的 不 断 升级 ，IP 网 所 承载 的 业务 已 经 由 单纯 的 互联 
网 业务 发 展 到 了 数据 、 语 音 和 视频 等 综合 业务 ， 流 媒体 、IPTV 等 
新 业务 对 运营 商 本 地 IP 网 QoS 的 要 求 从 简单 的 网 络 可 靠 性 发 展 到 
了 时 延 、 时 延 抖动 、 丢 包 率 及 网 络 的 可 靠 性 等 全 面 的 QoS 要 求 。 

QoS 技术 的 主要 目的 是 在 链 路 拥塞 的 情况 下 ， 仍 能 够 保证 重要 业 
务 不 受 影响 。 其 中 主要 的 参数 为 网 络 时 延 及 丢 包 率 。 有 目前 应 用 较 
多 的 IP QoS 技 术 是 队列 技术 及 WRED 技 术 。QoS 并 没有 创造 带宽 ， 
只 是 根据 应 用 程序 的 需求 以 及 网 络 状况 来 管理 带宽 。 

通常 运营 商 网 络 由 宽带 接 入 网 、 城 域 网 和 骨干 网 三 部 分 组 成 。 宽 
带 接 入 网 一 般 是 由 BSLAM 或 二 层 交 换 机 组 成 的 二 层 网 络 ， 在 QoS 
方面 可 以 部 署 802.1P 区 分 不 同 用 户 的 优先 级 ， 并 配置 基于 802.1P 
的 CAR 来 限制 入 网 流量 。 

城 域 网 BRAS 或 PE 设备 上 可 以 通过 进一步 流 分 类 区 分 出 同一 用 户 
的 不 同业 务 流 ， 为 不 同 的 业务 流 选择 合适 的 队列 调度 算法 和 拥塞 
避免 训 法 ， 从 而 为 不 同 的 业务 提供 不 同 的 服务 保证 。 

QoS 的 应 用 随 着 网 络 需求 的 变化 而 不 断 变 化 ， QoS 是 一 项 复杂 的 
亚 程 ， 其 中 不 仅仅 包括 这 里 所 提 到 队列 ， 拥 塞 避免 技术 。 在 某 些 
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更 为 复杂 的 网 络 ， 还 可 以 利用 灵活 QinQ 技 术 实现 基于 用 户 基于 业 
务 的 Qos 技 术 以 及 分 层级 的 HQoS 技 术 。 对 这 部 分 内 容 感 兴 趣 的 读 
者 可 以 参考 一 些 其 他 技术 类 的 文档 。 


xX 
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k 2., 


， ~ 
在 线 学 习 资 料 支 持 
您 可 以 在 华为 企业 业务 网 站 获得 ELearning 课 程 、 培 训 教材 、 产 品 资料 、 软 件 工具 、 技 术 案 例 等 : 
1、E-Learning 课 程 : BREAZHF TMi, itr “EARME” 28 
免费 E-Learning 课 : 对 网 站 所 有 用 户 免费 开放 
职业 认证 E-Learning 课 : 通过 任何 一 项 职业 认证 即 可 学 习 所 有 职业 认证 培训 E-Learning 课 程 
渠道 赋 能 E-Learning 课 : 对 华为 企业 业务 合作 伙伴 免费 开放 
2、 培 训 教材 : SREAZAF IT Mi, tr “EHME” , EARN AAA PRAMS 
华为 职业 认证 培训 教材 、 华 为 产品 技术 培训 教材 。 无 需 注册 即 可 下 载 
3、 华 为 在 线 公 开课 (LVC): http://support.huawei.com/ecommunity/bbs/10154479.html 
企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 公开 授课 
4、 产 品 资料 下 载 : El iii 二 
5. RHIAPR: http://support.huawei.com/enterprise/#tabname=softwaredewnload 











更 多 内 容 请 访问 : 
o http://learning.huawei.com/cn 
o http://support.huawei.com/enterprise/ 
o http://support.huawei.com/ecommunity/ 
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